配置私有CA
CA配置信息 /etc/pki/tls/openssl.cnf
1, 创建所需要的文件
Touch /etc/pki/CA/index.txt 存放证书数据库文件,需要手工创建
Echo 01 > /etc/pki/CA/serial 指定16位进制的证书标号
2.centos7上搭建CA先生成私钥
(umask 066;openssl genrsa -out private/cakey.pem -des 2048)
3 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem(自己私钥地址) -days 7300 -out /etc/pki/CA/cacert.pem(生成的证书地址)
生成自签名证书
req 请求
-x509自签名证书
加这个表示自己给自己签名
不加这个 表示申请证书
4客户端申请证书,自己先要有私钥文件
最终centos6客户端会有3个文件,一个私钥文件,一个申请文件,一个颁发的证书
申请的证书一般放在应用的目录下例如conf.d
生成私钥 (umask066;openssl genrsa -out app.key 1024)
生成证书申请 openssl req -new -key app.key -out app.pem 时间和x509都可以不用添加
将证书申请传到CA(centos7服务器)
Scp
5 CA生成证书
openssl ca -in app.csr -out certs/app.crt -days 730
-out后跟生成证书的地址,配置文件规定的不能变
不能缺 touch index.txt
编号 echo 01 > serial 都是在CA目录下