编辑/etc/pki/tls/下面的openssl.cnf文件
修改一下三行
countryName
= match countryName = optional
stateOrProvinceName
= match stateOrProvinceName = optional
organizationName
= match organizationName = optional
方框处是修改内容,箭头部分为要另外建的目录和文件如下
创建CA自己私钥
[root@localhost CA]# openssl genrsa 1024 >private/cakey.pem
[root@localhost CA]# chmod 600 private/* //修改私钥权限
[root@localhost CA]# ll ./private
总计 4
-rw------- 1 root root 887 10-22 10:56 cakey.pem
创建CA自己的证书
[root@localhost CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650
创建用户私钥:
#mkdir –pv /etc/httpd/certs //创建用户私钥保存目录
#cd /etc/httpd/certs
#openssl genrsa 1024 >httpd.key //创建用户自己的私钥
#openssl req -new -key httpd.key –out httpd.csr //创建请求文件
# openssl ca -in http.csr -out httpd.cert //申请证书
[root@localhost certs]# ll
总计 12
-rw-r--r-- 1 root root 3067 10-22 18:33 httpd.cert
-rw-r--r-- 1 root root 647 10-22 17:54 httpd.csr
-rw-r--r-- 1 root root 887 10-22 11:44 httpd.key
修改/etc/httpd/conf.d目录里面的ssl.conf文件
Ok,下面找客户端验证:
图中有两项是不通过的,还需要修改,解决第一项:
修改/etc/httpd/conf.d目录里面的ssl.conf文件
然后点击查看证书,在点击安装证书,在测试,ok解决
解决第二项:
修改hosts文件,路径C:\WINDOWS\system32\drivers\etc
添加ip与名称的对应关系,ok,再测试一下
好了,可以直接访问了,最后记得关闭80端口,要不明文也可以访问。