服务器之03 CA

OpenSSL创建私有CA

----------------------------------------------------

1、为CA生成一个私钥 

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 生成私钥

2、生成自签证书 

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

CN

GD

SZ

LT

JSB

ca.litao.com 

[email protected]

openssl x509 -text -in /etc/pki/CA/cacert.pem  显示证书信息

3补充必要的辅助文件：

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

----------------------------------------------------

客户机请求： 

创建自己http的私钥

(umask 077; openssl genrsa -out /etc/http/httpd.key 2048)

生成申请:

openssl req -new -key /etc/http/httpd.key -out /etc/http/httpd.csr -days 3650

CN

GD

SZ

LT

JSB

ca.litao.com 

[email protected]

与CA的保持一致

传到服务器

服务器签署证书：

我们自己创建好的CA所在的主机，接收到别人发来的证书签署请求后，执行如下命令，即可签署证书，生成证书文件。

  openssl ca -in /路径/httpd.csr -out /路径/httpd.crt -days 3650

y

y