创建私有CA

前提:已安装OPSSL,可以通过rpm -q opensll 查看

Openssl介绍:

Openssl是一种开源的实现https的数据加密传输工具,openssl提供了两个重要的库文件:(1libcrypto,是通用的加密库,提供了各种的加密函数(2libssl,是一种基于会话的,实现身份认证的、数据加密性和完整性的TLS/SSL协议库。

Openssl还提供了一个命令行工具openssl,可以实现对文件进行多种方式的加密解密和生成密钥等多种用处,下面我们就介绍如何使用openssl创建私有CA

第一步:编辑openssl的配置文件/etc/pki/tls/openssl.cnf  把里面的相对路径../../CA改为绝对路径/etc/pki/CA

设置一些内容的默认值(方便以后用,不用手动输入,直接使用默认的值),

创建目录:所需目录和文件(这些文件都是在配置文件标有的)

目录:certs   newcerts    crl

件:index.txt   serial(证书序列号,需要赋值)

第二步:为CA生成私钥

切换到/etc/pki/CA执行生成密钥命令

第三步:创建CA自签署证书

利用此证书为其他服务应用签署证书,以httpd服务为例

(这里我们http服务器和CA用一台电脑,方便实验)

1、切换工作目录到httpd,创建ssl目录(不是必须的,你也可以自己定)

2、httpd服务生成密钥

3、生成签署申请:

4、加签署申请传送给CACA签署后,将签署后的证书再传给httpd服务器(这里是同一台机器,直接让CA签署就行了)

5、编辑一下httpd服务器的配置文件/etc/httpd/conf.d/ssl.conf启用证书功能就行了

:httpd服务器要想使用ssl功能得安装mod_ssl模块,ssl/conf文件是装载了mod_ssl模块后生成的。

ssl.conf文件的内容作如下更改

保存重启httpd服务。

6、测试。

(1)在另一台电脑上用浏览器浏览www.a.com(要用https协议你访问)

2)从httpd服务器上下载证书,安装后再浏览