創建CA和申請證書
1、創建私有CA和所需要的文件
openssl的配置文件:/etc/pki/tls/openssl.cnf
touch /etc/pki/CA/index.txt 生成證書索引數據庫文件
echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列
號
2、CA自簽證書
(1)生成私鑰
cd/etc/pki/CA/
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
(2)生成自簽名證書
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new:生成新證書籤署請求
-x509:專用於CA生成自簽證書
-key:生成請求時用到的私鑰文件
-days n:證書有效期
-out:證書保存路徑
3、申請證書和頒發證書
(1)在需要使用證書的主機生成證書請求。給服務器生成私鑰
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
(2)生成證書申請文件
openssl req -new -key /etc/pki/tls/private/test.key -out /etc/pki/tle/test.csr
(3)將證書請求文件傳輸給CA(此步驟也可以在CA服務器上做)
scp /etc/pki/tle/test.csr 到CA服務器上
(4)CA簽署證書,並將證書頒發給請求者
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365
注意:默認國家、省、公司名稱必須和CA一致
(5)查看證書信息
openssl x509 -in /PATH/FROM/CERT_FILE -noout -test|issuer|subject|serial|dates