标签:ca证书 linux
一
创建私有CA
1.准备工作
1. 修改/etc/pki/tls/openssl.cnf中dir= ../../CA 为dir= /etc/pki/CA,否则可能会读取ca时出错
2.根据openssl.cnf中的要求在/etc/pki/CA目录下分别创建 private,certs,newcerts, crl目录和index.txt,serial文件,并且给echo 01 > serial中给serial文件中添加一个证书申请的第一个编号
2. 在CA目录下的private目录中生成一个ca的私钥
(umask 077; openssl genrsa -out cakey.pem 2048)注释:此处文件名必须为cakey.pem
3.在CA目录生成一个自签证书的请求加上x509为自签表明自己为ca,否则需要提交
openssl req -new -x509 -key cakey.pem -out cacert.pem (文件名必须为cacert.pem)
进入签署模式编辑签署信息,自签署证书生成,私有CA建立完成
二
为应用签署证书
以httpd为例
创建目录/etc/httpd/ssl用来存放证书,目录可以随意起名
(umask 077; openssl genrsa -out httpd.key 2048)
生成证书请求
openssl req -new -key httpd.key -out httpd.csr
调用CA进行签署
openssl ca -in httpd.csr -out httpd.crt 进入证书签署模式,根据提示进行同意或者拒绝
htppd.csr请求签署完成
标签:ca证书 linux
原文地址:http://superzhangqiang.blog.51cto.com/6399950/1716556