1、创建私有CA和所需要的文件
openssl的配置文件:/etc/pki/tls/openssl.cnf
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列
号
2、CA自签证书
(1)生成私钥
cd/etc/pki/CA/
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
(2)生成自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书有效期
-out:证书保存路径
3、申请证书和颁发证书
(1)在需要使用证书的主机生成证书请求。给服务器生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
(2)生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key -out /etc/pki/tle/test.csr
(3)将证书请求文件传输给CA(此步骤也可以在CA服务器上做)
scp /etc/pki/tle/test.csr 到CA服务器上
(4)CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365
注意:默认国家、省、公司名称必须和CA一致
(5)查看证书信息
openssl x509 -in /PATH/FROM/CERT_FILE -noout -test|issuer|subject|serial|dates
原文:http://blog.51cto.com/12630492/2176840