1,首先編輯配置文件(目的指明CA的目錄/etc/pki/CA)
#vim /etc/pki/tls/openssl.cnf
[ CA_default ]
dir = /etc/pki/CA # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
#修改完成後可以保存退出
2,制作CA自己的私鑰存儲為
切換到CA目錄
#(umask 77;openssl genrsa 2048 > private/cakey.pem)
生成的密鑰存儲於/etc/pki/CA/private/cakey.pem
生成自簽證書(文件名cacert.pem)
命令# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
建立CA工作需要的必要目錄與文件
mkdir certs newcerts crl
touch index.txt serial
echo 01 > serial #serial需要一個起始號用echo送入01
3,CSR證書簽署請求 (某服務器要用http服務)
制作自己的私鑰
#openssl genrsa 1024 > httpd.key
通過自己的私鑰制作CSR (CSR中包含自己的公鑰和自己的基本信息)
#openssl req -new -key httpd.key -out httpd.csr
4,CA認證公鑰 (CA對CSR認證,做出簽署)
#openssl ca -in httpd.csr -out httpd.crt
