标签:建立私有CA
使用openssl建立私有CA命令:(umask 077; openssl genrsa –out /etc/pki/CA/private/cakey.pem 4096)
命令注释:加括号,是为了启动子进程,更改umask,不影响原进程的umask。Cakey.pem是生成的私钥文件 长度是4096,不用umask也可以,但是生成私钥文件之后要手动修改权限为仅用户可rw(读写)
命令:openssl req –new –x509 –key /etc/pki/CA/private/cakey.pem –out /etc/pki/CA/cacert.pem –days 3650
命令注释:-key 指明私钥 -out 输出自签证书
输入命令后的说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,
如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com 这一项必须和你的域名一致
Email Address []:
命令:
创建目录 :mkdir –pv /etc/pki/CA/{certs,crl,newcerts}
创建文件:touch /etc/pki/CA/{serial,index.txt}
追加证书序列号:echo 01 > /etc/pki/CA/serial
至此,私有CA建立完成,下面是向私有CA请求签署个人证书
创建目录:mkdir /etc/httpd/ssl
切换到此目录:cd /etc/httpd/ssl
生成私钥:(umask 077; openssl genrsa –out /etc/httpd/ssl/httpd.key 2048)
命令注释: -out 生成的私钥文件路径
2048 私钥长度
签证请求:openssl rea –new –key /etc/httpd/ssl/httpd.key –out /etc/httpd/ssl/httpd.csr –days 365
命令注释: -key 第一步生成的私钥文件
-out 生成的证书文件
-days 证书的有效期
把第二步生成的证书发送或者copy到CA主机,然后在CA主机签署此证书
openssl ca –in /tmp/httpd.csr –out /etc/pki/CA/certs/httpd.crt –days365
命令注释: -in 要签署的证书文件
-out 经过CA签署的证书
-days 证书有效期
openssl x509 –in /etc/pki/CA/certs/httpd.crt –noout –serial –subject
如有不当之处,或者建议,欢迎指出,thank!!!
标签:建立私有CA
原文地址:http://blog.51cto.com/mkyang/2117488
