总流程:
1、创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
2、 CA自签证书
生成私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成自签名证书
openssl req -new -x509 –key
/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
3、颁发证书
A 在需要使用证书的主机生成证书请求
给web服务器生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
B 将证书请求文件传输给CA
C CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
注意:默认国家,省,公司名称三项必须和CA一致
D 查看证书中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态
现在小编带大家实现以上创建流程,只不过我们跳过第一步,先执行第二步,看看它会如何报错,具体步骤如下
① centos7模拟web服务器,生成密钥并加密,这样权限也就设置的比较严格
② 利用上面生成的私钥生成一个自签名的证书
③ centos6模拟客户端去向centos7申请证书
④ 利用私钥文件生成请求文件,一般以.csr后缀,默认国家、省会和公司必须和CA一致
⑤ 把请求文件放到CA证书存放路径(也就是把请求文件从centos6传到centos7)
⑥ CA审核请求,并颁发证书(会有报错情况,因为我们开始时跳过了第一步)
根据报错,创建index.txt文件,发现依旧报错,缺少serial文件
⑦ 创建seiral文件,文件齐全,无报错情况,再执行审核命令,证书颁发成功
看一下数据库,出现证书信息
这次用了编号99,那么下一个证书的编号是9A而不会是100,到此证书颁发完毕
⑧ 把颁发好的证书传给客户端centos6,让它使用
切换至客户端,这时已经收到证书了
查看证书部分内容
查看证书状态
到此,模拟结束,希望大家踊跃评论哦。