ssh openssl 生成私有证书并申请颁发

1、openssl：相关包 openssl和openssl-libs

2、rpm -ql openssl-libs 可以看出openssl 的配置文件在/etc/pki/tls/openssl.cnf

3、打开openssl.cnf 看到

　　三种策略：match匹配、optional可选、supplied提供

　　match：要求申请填写的信息跟CA设置信息必须一致

　　optional：可有可无，跟CA设置信息可不一致

　　supplied：必须填写这项申请信息

 

2.4.1 创建私有CA
1、创建CA所需要的文件
#生成证书索引数据库文件
touch /etc/pki/CA/index.txt
#指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial
2、 生成CA私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
3、生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

选项说明：
-new：生成新证书签署请求
-x509：专用于CA生成自签证书
-key：生成请求时用到的私钥文件
-days n：证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

范例：生成自签名证书
openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.magedu.org" -keyout app.key -nodes -x509 -out app.crt

2.4.2 申请证书并颁发证书
1、为需要使用证书的主机生成生成私钥
(umask 066; openssl genrsa -out /data/test.key 2048)
2、为需要使用证书的主机生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
3、在CA签署证书并将证书颁发给请求者
openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 100

注意：默认要求 国家，省，公司名称三项必须和CA一致
4、查看证书中的信息：
openssl x509 -in /PATH/FROM/CERT_FILE -noout ? -text|issuer|subject|serial|dates
#查看指定编号的证书状态
openssl ca -status SERIAL ?