使用openssl建立私有CA
第一步,生成私钥
命令:(umask 077; openssl genrsa –out /etc/pki/CA/private/cakey.pem 4096)
命令注释:加括号,是为了启动子进程,更改umask,不影响原进程的umask。Cakey.pem是生成的私钥文件 长度是4096,不用umask也可以,但是生成私钥文件之后要手动修改权限为仅用户可rw(读写)
第二步,生成自签证书
命令:openssl req –new –x509 –key /etc/pki/CA/private/cakey.pem –out /etc/pki/CA/cacert.pem –days 3650 命令注释:-key 指明私钥 -out 输出自签证书
输入命令后的说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,
如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:Beijing Locality Name (eg, city) []:Beijing Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios Organizational Unit Name (eg, section) []:info technology Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com 这一项必须和你的域名一致 Email Address []:
第三步,为CA提供所需的目录及文件
命令: 创建目录 :mkdir –pv /etc/pki/CA/{certs,crl,newcerts} 创建文件:touch /etc/pki/CA/{serial,index.txt} 追加证书序列号:echo 01 > /etc/pki/CA/serial
至此,私有CA建立完成,下面是向私有CA请求签署个人证书
向私有CA请求签署证书
第一步,创建证书存放目录,生成私钥
创建目录:mkdir /etc/httpd/ssl 切换到此目录:cd /etc/httpd/ssl 生成私钥:(umask 077; openssl genrsa –out /etc/httpd/ssl/httpd.key 2048) 命令注释: -out 生成的私钥文件路径 2048 私钥长度
第二步,生成证书签署请求
签证请求:openssl rea –new –key /etc/httpd/ssl/httpd.key –out /etc/httpd/ssl/httpd.csr –days 365 命令注释: -key 第一步生成的私钥文件 -out 生成的证书文件 -days 证书的有效期
第三步,将请求文件发送给CA主机
把第二步生成的证书发送或者copy到CA主机,然后在CA主机签署此证书
第四步,在CA主机上签署证书
openssl ca –in /tmp/httpd.csr –out /etc/pki/CA/certs/httpd.crt –days365 命令注释: -in 要签署的证书文件 -out 经过CA签署的证书 -days 证书有效期
查看证书中的信息
openssl x509 –in /etc/pki/CA/certs/httpd.crt –noout –serial –subject
如有不当之处,或者建议,欢迎指出,thanks !!!