rh333 - 搭建简易CA中心
Version: RHEL 5.8 x32
修改搭建CA的配置文件:
vim /etc/pki/tls/openssl.cnf
dir = /etc/pki/CA
certificate = $dir/my-ca.crt
private_key = $dir/private/my-ca.key
根据CA中心默认的配置策略,可以找到如下3个match选项,这表示在生成请求证书文件(*.csr)时,这3项必须一致
# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
为方便本机测试,建议给这些选项配置默认值
/etc/pki/tls/openssl.cnf
countryName_default = GB
stateOrProvinceName_default = Berkshire
localityName_default = Newbury
0.organizationName_default = My Company Ltd
执行/etc/pki/tls/misc/CA -newca然后中断生成/etc/pki/CA下的目录,
或者可以手动建立如下目录或者文件:
mkdir /etc/pki/CA
mkdir /etc/pki/CA/certs
mkdir /etc/pki/CA/crl
mkdir /etc/pki/CA/newcerts
mkdir /etc/pki/CA/private
echo "00" > /etc/pki/CA/serial
touch /etc/pki/CA/index.txt
生成CA中心私钥:
(umask 077; openssl genrsa -des3 -out my-ca.key 2048)
查看CA私钥:
openssl rsa -in my-ca.key
生成CA中心公钥(x509表示自签名公钥,没有x509选项则表示生成需要CA中心签名的证书请求文件csr):
openssl req -x509 -new -key my-ca.key -out my-ca.crt
查看CA公钥指纹:
openssl x509 -fingerprint -in my-ca.key -noout -sha1
openssl x509 -fingerprint -in my-ca.key -noout -md5
至此CA中心搭建完毕,我们已经可以用它来给证书请求文件csr签名了.