标签:私有ca、证书颁发
准备两台主机,一台作为CA,IP地址为172.16.125.126;另一台作为用户,即证书请求的主机,IP地址为172.16.125.125。
在主目录为CA的相关信息就是CA所在主机。而主目录为ssl的相关信息就是客户机,即要使用到证书的主机。
第一步:在准备创建私有CA的主机上创建私有密钥;
[root@localhost CA]# cd /etc/pki/CA [root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
主要是为了在CA主机上生成私钥文件,指明私钥文件为/etc/pki/CA/cdkey.pem,加密长度为2048。
第二步:创建作为CA主机所需要的文件;
在当前目录下创建index.txt和serial文件,并且在serial文件中。
[root@localhost CA]# touch index.txt [root@localhost CA]# echo 01 > serial
第三步:CA主机自身生成证书请求,也就是为自己颁发证书。
[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
第四步:要使用证书的主机生成颁发证书请求;
在证书请求的主机上建一个ssl目录,切换到该目录下。
[root@localhost ssl]# (umask 077;openssl genrsa -out httpd.key 1024)
[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr
第五步:将请求文件传输给CA所在主机;使用scp命令。
[root@localhost ssl]# scp httpd.csr root@172.16.125.126:/tmp/
第六步:CA所在主机签署证书,回应证书请求;
[root@localhost CA]# openssl ca -in /tmp/httpd.csr -out certs/web2.lcs.com.crt -days 365
第七步:CA所在的主机将签署完成的证书,发送回请求主机;
[root@localhost CA]# scp certs/web2.lcs.com.crt 172.16.125.125:/etc/httpd/ssl/
通过以上步骤,就完成了私有CA的创建,以及证书的颁发。
本文出自 “Angry丶Bird” 博客,请务必保留此出处http://angrybird.blog.51cto.com/10503706/1699788
标签:私有ca、证书颁发
原文地址:http://angrybird.blog.51cto.com/10503706/1699788