OpenSSL配置CA

创建CA

一、根据openssl配置文件/etc/pki/tls/openssl.cnf，创建吊销列别编号文件、证书数据库文件、证书编号文件。

[root@ca ~]# mkdir /etc/pki/CA/crlnumber
[root@ca ~]# touch /etc/pki/CA/index.txt
[root@ca ~]# echo 01 > /etc/pki/CA/serial
[root@ca ~]# cd /etc/pki/CA/

二、生成ca私钥

[root@ca CA]# (umask 066; openssl genrsa -out private/cakey.pem -des3 2048)

 

 三、自签名生成ca公钥

[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

给web服务器颁发证书

一、web服务器创建私钥

[root@web ~]# (umask 066;openssl genrsa -out web.key 1024)

 

 二、创建证书请求文件

[root@web ~]# openssl req -new -key web.key -out web.csr

 

 三、发送证书请求文件到ca

[root@web ~]# scp web.csr root@10.78.246.55:/etc/pki/CA/

 

 四、ca对证书请求文件进行签名颁发

[root@ca CA]# openssl ca -in web.csr -out certs/web.crt -days 365

 

 

 

 无、把web证书文件发送给web服务器

[root@ca CA]# scp certs/web.crt root@10.78.246.56:/root