OpenSSL配置CA
创建CA
一、根据openssl配置文件/etc/pki/tls/openssl.cnf,创建吊销列别编号文件、证书数据库文件、证书编号文件。
[root@ca ~]# mkdir /etc/pki/CA/crlnumber [root@ca ~]# touch /etc/pki/CA/index.txt [root@ca ~]# echo 01 > /etc/pki/CA/serial [root@ca ~]# cd /etc/pki/CA/
二、生成ca私钥
[root@ca CA]# (umask 066; openssl genrsa -out private/cakey.pem -des3 2048)
三、自签名生成ca公钥
[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
给web服务器颁发证书
一、web服务器创建私钥
[root@web ~]# (umask 066;openssl genrsa -out web.key 1024)
二、创建证书请求文件
[root@web ~]# openssl req -new -key web.key -out web.csr
三、发送证书请求文件到ca
[root@web ~]# scp web.csr root@10.78.246.55:/etc/pki/CA/
四、ca对证书请求文件进行签名颁发
[root@ca CA]# openssl ca -in web.csr -out certs/web.crt -days 365
无、把web证书文件发送给web服务器
[root@ca CA]# scp certs/web.crt root@10.78.246.56:/root