rh333 - 搭建简易CA中心

rh333 - 搭建简易CA中心

Version: RHEL 5.8 x32

修改搭建CA的配置文件:
vim /etc/pki/tls/openssl.cnf
dir             = /etc/pki/CA
certificate     = $dir/my-ca.crt
private_key     = $dir/private/my-ca.key


根据CA中心默认的配置策略,可以找到如下3个match选项,这表示在生成请求证书文件(*.csr)时,这3项必须一致
# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional


为方便本机测试，建议给这些选项配置默认值
/etc/pki/tls/openssl.cnf
countryName_default             = GB
stateOrProvinceName_default     = Berkshire
localityName_default            = Newbury
0.organizationName_default      = My Company Ltd


执行/etc/pki/tls/misc/CA -newca然后中断生成/etc/pki/CA下的目录,
或者可以手动建立如下目录或者文件:
mkdir /etc/pki/CA
mkdir /etc/pki/CA/certs
mkdir /etc/pki/CA/crl
mkdir /etc/pki/CA/newcerts
mkdir /etc/pki/CA/private
echo "00" > /etc/pki/CA/serial
touch /etc/pki/CA/index.txt


生成CA中心私钥：
(umask 077; openssl genrsa -des3 -out my-ca.key 2048)
查看CA私钥：
openssl rsa -in my-ca.key


生成CA中心公钥(x509表示自签名公钥,没有x509选项则表示生成需要CA中心签名的证书请求文件csr)：
openssl req -x509 -new -key my-ca.key -out my-ca.crt
查看CA公钥指纹：
openssl x509 -fingerprint -in my-ca.key -noout -sha1
openssl x509 -fingerprint -in my-ca.key -noout -md5


至此CA中心搭建完毕,我们已经可以用它来给证书请求文件csr签名了.