搭建私有CA并实现证书颁发

一、搭建私有CA服务器

1、安装包

       # yum -y install openssl

2、生成密钥对儿

       # cd /etc/pki/CA

       # (umask 077;openssl genrsa -out private/cakey.pem 2048)

       说明：（）表示为子shell中执行,直接生成权限600的文件，666-077 

 3、生成CA自签证书(CA的根证书)：

       # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

              -new：生成新证书签署请求

              -x509：专用于CA生成自签证书

              -key：生成请求用到的私钥文件

              -days n：证书的有限期限

              -out /PATH/TO/SOMECERTFILE：证书的保存路径,路径是根据/etc/pki/tls/openssl.cnf定的

 4、CA目录下创建需要的文件：

       # touch index.txt serial crlnumber

       # echo 01 > serial  

 

参考命令

yum -y install openssl
cd /etc/pki/CA
(umask 077;openssl genrsa -out private/cakey.pem 2048)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
touch index.txt serial crlnumber
echo 01 > serial

 

二、客户端申请证书

1、安装包

       # yum -y install openssl

2、在主机上生成密钥（私钥）

　　保存至应用此证书的服务的配置文件目录下：（根据实际应用的要求选择目录，此处以httpd服务的配置目录为例）

       # mkdir /etc/httpd/ssl

       # cd /etc/httpd/ssl

       # (umask 077; openssl genrsa -out httpd.key 1024)

3、生成证书申请文件

       # openssl req -new -key httpd.key -out httpd.csr

 4、将申请文件发往CA

       # scp httpd.csr x.x.x.x

 

参考命令

yum -y install openssl
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
(umask 077; openssl genrsa -out httpd.key 1024)
openssl req -new -key httpd.key -out httpd.csr
scp httpd.csr 192.168.1.100

 

三、CA服务器上签署证书

1、CA服务器上签署

       #openssl ca -in httpd.csr -out httpd.crt -days DAYS

2、将证书传回请求者

       # scp httpd.crt y.y.y.y

 

参考命令

openssl ca -in httpd.csr -out httpd.crt -days 365
scp httpd.crt 192.168.1.200