centos6中

一. 创建私有CA

 1 、创建所需要的文件

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

创建CA 和申请证书_CA

2  CA 自签证书

生成私钥

cd /etc/pki/CA/ (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

()的使用为了使umask值只在当前代码行有效,而不改变系统umask值

 CA私钥名必须为cakey.pem

创建CA 和申请证书_CA_02

 二:CA自签证书

 生成自签名证书

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300-out /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求

-x509: 专用于CA 生成自签证书

-key: 生成请求时用到的私钥文件

-days n :证书的有效期限

创建CA 和申请证书_CA_03

三:颁发证书

centos7中生成证书请求

  在需要使用证书的主机生成证书请求给web 服务器生成私钥

(umask 066; openssl genrsa –out /etc/pki/tls/private/test.key2048)

创建CA 和申请证书_CA_04

生成证书申请文件

openssl req -new -key/etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test.csr

创建CA 和申请证书_CA_05

注意:默认国家,省,公司名称三项必须和CA 一致


  将证书请求文件传输给CA

scp test.csr 172.17.0.168:/app/test.csr


  CA 签署证书,并将证书颁发给请求者

openssl ca -in /app/test.csr –out /etc/pki/CA/certs/test.crt-days 365


创建CA 和证书管理

查看证书中的信息:

openssl x509 -in /PATH/FROM/CERT_FILE–noout -text|issuer|subject|serial|dates

openssl ca -status SERIAL 查看指定编号的证书状态


 四 、吊销证书

  在客户端获取要吊销的证书的serial

openssl x509 -in / PATH/FROM/CERT_FILE-noout-serial -subject

CA 上,根据客户提交的serial subject 信息,对比检验是否与index.txt 文件中的信息一致,吊销证书:openssl ca -revoke /etc/pki/CA/newcerts/SERIAL .pem

  指定第一个吊销证书的编号

注意:第一次更新证书吊销列表前,才需要执行echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

查看crl 文件:

openssl crl -in /etc/pki/CA/crl/crl.pem-noout -text