openssl创建证书

https:

SSL/TLS

SSL会话仅支持基于IP进行区分

IP

www.mgaedu.com

www.test.net

www.example.org

这三个如果IP一样，只有一个能用SSL

一、要想使用SSL，必须把mod_ssl这个模块装上去

二、安装好模块之后在/etc/httpd/conf.d目录下会有ssl.conf这个片段配置文件

---------------------------------------------

  <VirtualHost _default_:443> 表示默认的主机

        DocumentRoot "/vhosts/magedu.com"

ServerName www.magedu.com

  SSLProtocol all -SSLv2   

- 表示禁用SSLv2协议

  SSLCertificateFile  /etc/pki/tls/certs/localhost.crt 证书文件

  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 私钥文件

---------------------------------------------

三、创建证书

CA的父路径：/etc/pki/CA

  vim ../tls/openssl.cnf

-------------------------------------- 

[ CA_default ]

    dir          = /etc/pki/CA

default_days      =3650

 countryName_default    =CN 

stateOrProvinceName_default     =Henan  

 localityName_default   =ZZ

0.organizationName_default   =magedu.com

organizationalUnitName_default   =Tech

四、生成私钥

cd /etc/pki/CA

(umask 077; openssl genrsa 1024 > private/cakey.pem)

umask 更改默认权限

cakey.pem 的权限为600 （原来的权限减去077）

五、生成一个自签证书

  openssl req -new -x509 -key private/cake.pem -out cacert.pem

#mkdir newcerts certs crl

#touch index.txt

#echo 01 > serial

#cd /etc/httpd/conf

#mkdir ssl

#cd ssl

#(umask 077; openssl genrsa 1024 > httpd.key)

openssl req -new -key httpd.key -out httpd.csr

  Common Name (eg, your name or your server's hostname) []:www.magedu.com

 这个主机名必须与ip的主机名一致

#openssl ca -in httpd.csr -out httpd.crt

 签证书

最后还要配置一下证书文件和私钥文件

  SSLCertificateFile  /etc/httpd/conf/ssl/httpd.crt 证书文件

  SSLCertificateKeyFile /etc/httpd/conf/ssl/httpd.key 私钥文件