openssl证书配置过程

openssl 证书制作过程

总体步骤就是：

1、得有个CA内部机构(服务端)

2、这个CA服务端为了声明自身合法，得先自签署个证书出来

3、然后客户端，得有私钥，然后私钥生成个可以被签署的文件

4、客户端把这个需要签署的文件，传递给CA服务端

5、CA服务端成功签好了，把签好的文件，传给客户即可，.

*********操作如下***************

生成openssl机构证书：

CA服务器端：

1.编辑openssl.conf文件

#vim/etc/pki/tls/ openssl.conf

dir=../../CA

修改为

dir             = /etc/pki/CA

ountryName             = match

stateOrProvinceName     = match

organizationName        = match

改为

ountryName             = optional

stateOrProvinceName     = optional

organizationName        = optional

作用是不用匹配国家、省份、城市照样能使用证书服务器，否则申请证书必须跟CA证书在同一个国家、身份、城市

才能申请证书。

2.创建配置文件所需的目录和文件。

#cd /etc/pki/CA

#mkdir certs crl newcerts

#touch index.txt

#echo "01" > serial

3.CA服务器自签证书

#openssl genrsa 1024 > private/cakey.pem   #生成证书秘钥

#chmod 600 private/cakey.pem#修改权限

#openss req -new -x509 -key private/cakey.pem -out cacert.pem -days 3656 #生成证书

 x509生成自签证书必备选项，有效期为3650天

然后依次输入：国家、省、城市、公司、部门、主机名、邮件地址

证书的申请方：以apache服务器为例

yum -y install mod_ssl  #安装apache证书模块

生成web证书：

1.建立ssl 目录

#mkdir -pv /etc/httpd/ssl

#cd /etc/httpd/ssl

#(umask 077; openssl genrsa 1024 >httpd.key) #生成秘钥

#openssl req -new -key httpd.key -out httpd.csr  #生成证书请求文件

#openss ca -in http.csr -out httpd.crt -days 3656 #用证书请求文件向CA服务请求证书

2.修改httpd的ssl.conf的配置文件，

#vim /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/httpd/ssl/httpd.crt

CertificateKeyFile /etc/httpd/ssl/httpd.key

3.查看证书信息

#openssl x509 -text -in httpd.crt 查看已签署的证书信息