搭建私有CA并实现证书颁发

一、搭建私有CA服务器

1、安装包

# yum -y install openssl

2、生成密钥对儿

# cd /etc/pki/CA

# (umask 077;openssl genrsa -out private/cakey.pem 2048)

说明：（）表示为子shell中执行,直接生成权限600的文件，666-077

3、生成CA自签证书(CA的根证书)：

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

-new：生成新证书签署请求

-x509：专用于CA生成自签证书

-key：生成请求用到的私钥文件

-days n：证书的有限期限

-out /PATH/TO/SOMECERTFILE：证书的保存路径,路径是根据/etc/pki/tls/openssl.cnf定的

4、CA目录下创建需要的文件：

# touch index.txt serial crlnumber

# echo 01 > serial

 

参考命令

yum -y install openssl
cd /etc/pki/CA
(umask ;openssl genrsa -out private/cakey.pem )
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days
touch index.txt serial crlnumber
echo  > serial

二、客户端申请证书

1、安装包

# yum -y install openssl

2、在主机上生成密钥（私钥）

　　保存至应用此证书的服务的配置文件目录下：（根据实际应用的要求选择目录，此处以httpd服务的配置目录为例）

# mkdir /etc/httpd/ssl

# cd /etc/httpd/ssl

# (umask 077; openssl genrsa -out httpd.key 1024)

3、生成证书申请文件

# openssl req -new -key httpd.key -out httpd.csr

 4、将申请文件发往CA

# scp httpd.csr x.x.x.x

参考命令

yum -y install openssl
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
(umask ; openssl genrsa -out httpd.key )
openssl req -new -key httpd.key -out httpd.csr
scp httpd.csr 192.168.1.100

三、CA服务器上签署证书

1、CA服务器上签署

#openssl ca -in httpd.csr -out httpd.crt -days DAYS

2、将证书传回请求者

# scp httpd.crt y.y.y.y

参考命令

openssl ca -in httpd.csr -out httpd.crt -days
scp httpd.crt 192.168.1.200