私有CA搭建

1、创建CA所需要的文件

生成证书索引数据库文件

touch /etc/pki/CA/index.txt

指定第一个颁发证书的序列号

1235  echo 01 > /etc/pki/CA/serial

查看证书内容

[root@centos880 CA]# openssl x509 -in zhengshu -noout -text

生成CA的私有密钥于/etc/pki/CA/private

openssl genrsa -out private/cakey.pem 2048 

为CA自己颁发证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -out /etc/pki/CA/cacert.pem -days 3650

用户证书创建：

cd /etc/pki/tls/openssl.cnf CA的配置文件 为用户颁发证书是以此配置文件
openssl genrsa -out /data/app1/appri.key 先创建用户的rsa私有密钥

openssl req -new -key /data/app1/appri.key -out /data/app1/app.csr 根据rsa密钥生成证书申请文件

openssl ca -in /data/app1/app.csr -out /etc/pki/CA/certs/app.crt -days 1000 为用户颁发证书

用户证书吊销

echo 01 > /etc/pki/CA/crlnumber 生成吊销证书编号
openssl x509 -in /etc/pki/CA/newcert/app.crt   -noout   -serial -subject 检查用户证书信息 是否与index.txt信息一致

openssl ca -revoke /etc/pki/CA/newcerts/01.pem 吊销证书 根据证书编号                                   

openssl ca -gencrl -out /etc/pki/CA/crl.pem 生成吊销证书列表

openssl crl -in /etc/pki/CA/crl.pem -noout -text 查看被吊销的证书