在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可; 在CA服务器上操作: 步骤: (1) 生成私钥: ~]#(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) (2) 生成自签证书: ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

-new:生成新证书签署请求; -x509:生成自签格式证书,专用于创建私有CA时; -key:生成请求时用到的私有文件路径; -out:生成的请求文件路径,如果自签操作将直接生成签署过的证书; -days;证书的有效时长,单位是day;

(3) 为CA提供所需的目录及文件: ~]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts} ~]#touch /etc/pki/CA/{serial,index.txt} ~]#echo 01 > /etc/pki/CA/serial

在自己的web服务器上操作:需要向CA请求签署证书

要用到证书进行安全通信的服务器,需要向CA请求签署证书: 步骤:(以httpd为例)

  1. 用到证书的主机生成私钥: ~]# mkdir /etc/httpd/ssl ~]# cd /etc/httpd/ssl/ ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048) -bash: $'\357\274\210umask': command not found Generating RSA private key, 2048 bit long modulus ..............................................................................................+++ ............................................................................................+++ e is 65537 (0x10001)

  2. 生成证书签署请求 ssl]# openssl req -new -key httpd.key -out httpd.csr -days 365

  1. 将请求通过可靠方式发送给CA主机; 把生成证书签署请求httpd.csr文件发送给CA主机

  2. 在CA主机上签署证书: ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 CA将生成的http.crt证书文件发送给自己的web服务器 CA]# scp certs/httpd.crt root@172.16.100.6:/etc/httpd/ssl/

查看证书中的信息: ~]#openssl x509 –in /etc/pki/CA/certs/httpd.crt –noout –serial –subject