①使用OpenSSL生成CA证书
# cd /etc/pki/CA
# openssl genrsa -out private/my-ca.key
# openssl req -new -key private/my-ca.key -out private/my-ca.csr
:生成证书请求文件
# openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 365 > my-ca.crt
# touch index.txt :创建CA键库
# openssl ca -gencrl -out /etc/pki/CA/private/ca.crl -crldays 7 -config "/etc/pki/tls/openssl.conf" :为移除客户端证书创建一个证书撤销列表
②步骤三: 生成客户端证书
# cd /etc/pki/CA
# mkdir users
# openssl genrsa -des3 -out /etc/pki/CA/users/client.key 1024 :为客户端创建一个key
# openssl req -new -key /etc/pki/CA/users/client.key -out /etc/pki/CA/users/client.csr
:用CA Key为刚才的客户端key签名
# openssl ca -in /etc/pki/CA/users/client.csr -cert /etc/pki/CA/private/my-ca.crt -keyfile /etc/pki/CA/private/my-ca.key -out /etc/pki/CA/users/client.crt -config "/etc/pki/tls/openssl.cnf"
:将证书转换为大多数浏览器都能识别的PKCS12文件
# cd users
# ls
③安装客户端证书
# scp /etc/pki/CA/users/client.p12 192.168.2.10@/root/
在firefox浏览器中导入下载的客户端证书
云主机实现:https://help.aliyun.com/document_detail/54508.html
原文:http://blog.51cto.com/13571706/2061198