创建私有CA

摘要：

本文是模拟 CA (Certification Authorization) 机构颁发安全认证，之后配置 https 并成功实现客户端访问的过程。

==============================

本文目录

==============================

创建私有 CA

-------- 1 实验拓扑

-------- 2 Web 服务器

-------- 3 CA 服务器

-------- 4 启动 httpd

-------- 5 测试

==============================

创建私有 CA

csr - certificate signing request

crt - certificate, X.509 的证书文件，一般以 .crt 结尾

私钥 - key

公钥 - pem

隐私增强邮件 (PEM, Privacy Enhanced Mail) 编码机制

1 实验拓扑

192.168.1.60    el60    Web Server

192.168.1.61    el61    CA Server

2 Web 服务器

安装 mod_ssl

yum -y install httpd mod_ssl

为 httpd 创建私钥

cd /etc/pki/tls/private

(umask 066; openssl genrsa -out httpd.key 2048)

生成 httpd 签证请求

openssl req -new -key httpd.key -out httpd.csr

将 httpd 签证请求发送给 CA

scp httpd.csr 192.168.1.61:/etc/pki/CA/private

3 CA 服务器

设定起始序号，并生成索引文件

cd /etc/pki/CA

echo 00 > serial

touch index.txt

为 CA 服务器创建私钥

cd private

(umask 066;openssl genrsa -out cakey.pem 4096)

CA 服务器自签证书

openssl req -new -x509 -days 3650 -key cakey.pem -out ../cacert.pem

为 web 服务器上的 httpd 签署证书

openssl ca -days 365 -in httpd.csr -out ../certs/httpd.crt

为 web 服务器上的 httpd 发放证书

scp ../certs/httpd.crt 192.168.1.60:/etc/pki/tls/certs

4 启动 httpd

sed -i 's/localhost/httpd/' /etc/httpd/conf.d/ssl.conf

service httpd start

5 测试