-
创建所需要的文件。
cd /etc/pki/CA目录中,在此目录中 touch index.txt文件
echo 01 > serial
-
CA自签证书
(umask 077;openssl genrsa -out private/cakey.pem 2048)这一步是建立私钥,
openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
这里会进入交互式界面,让你输入国家,省份,城市,公司,部门,网站,邮箱地址
这是请求签证书 只不过 -x509是自签。至此CA自签证书完毕
以上都在CA主机上
-
发证,当然是企业内部发证,否则别人不认可你的证书
(1)需要证书的主机B1向CA请求发证。
a.首先建立自己的私钥文件,
(umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
b.其次建立请求文件,
openssl req -new -key /etc/httpd/ssl/httpd.key 2048 -out /etc/httpd/ssl/httpd.csr -days 365
这里进入交互式界面,让你输入国家,省份,城市,公司,部门,网站,邮箱地址
注意:一定要公司都要与CA相同。否则不予发证。
(2) 把请求文件传送给CA
scp /etc/httpd/ssl/httpd.csr root@192.168.18.200:/tmp/
(3) 以下的在CA主机中进行,进行签证
openssl ca -in /tmp/httpd.csr -out /tmp/http.crt days 365
(4) 签证完毕后将证书发给请求主机B1
scp /tmp/httpd.crt root@192.168.18.130:/etc/httpd/ssl/ 当然这个目录必须有
至此所有步骤完成
本文转自 神迹难觅 51CTO博客,原文链接:http://blog.51cto.com/ji123/1950332,如需转载请自行联系原作者