如何创建私有CA

 创建私有CA

前提：已安装OPSSL，可以通过rpm -q opensll 查看

Openssl介绍：

Openssl是一种开源的实现https的数据加密传输工具，openssl提供了两个重要的库文件：（1）libcrypto，是通用的加密库，提供了各种的加密函数（2）libssl，是一种基于会话的，实现身份认证的、数据加密性和完整性的TLS/SSL协议库。

Openssl还提供了一个命令行工具openssl，可以实现对文件进行多种方式的加密解密和生成密钥等多种用处，下面我们就介绍如何使用openssl创建私有CA

第一步：编辑openssl的配置文件/etc/pki/tls/openssl.cnf  把里面的相对路径../../CA改为绝对路径/etc/pki/CA

设置一些内容的默认值（方便以后用，不用手动输入，直接使用默认的值），

创建目录：所需目录和文件（这些文件都是在配置文件标有的）

目录：certs   newcerts    crl

文件：index.txt   serial（证书序列号，需要赋值）

第二步：为CA生成私钥

切换到/etc/pki/CA执行生成密钥命令

第三步：创建CA自签署证书

利用此证书为其他服务应用签署证书，以httpd服务为例

（这里我们http服务器和CA用一台电脑，方便实验）

1、切换工作目录到httpd，创建ssl目录（不是必须的，你也可以自己定）

2、为httpd服务生成密钥

3、生成签署申请：

4、加签署申请传送给CA，CA签署后，将签署后的证书再传给httpd服务器（这里是同一台机器，直接让CA签署就行了）

5、编辑一下httpd服务器的配置文件/etc/httpd/conf.d/ssl.conf启用证书功能就行了

注:httpd服务器要想使用ssl功能得安装mod_ssl模块，ssl/conf文件是装载了mod_ssl模块后生成的。

将ssl.conf文件的内容作如下更改

保存重启httpd服务。

6、测试。

（1）在另一台电脑上用浏览器浏览www.a.com（要用https协议你访问）

（2）从httpd服务器上下载证书，安装后再浏览