配置私有CA命令与配置证书

一：配置私用CA命令

1.编辑配置文件/etc/pki/tls/openssl.cnf

更改dir 将"../../CA"改为"/etc/pki/CA"

可以更改默认国家、省份、城市

mkdir certs newcerts crl

touch index.txt

touch serial

echo 01 >serial

2.创建私有秘钥（公钥从此生成）

在/etc/pki/CA目录下

(umask 077;openssl genrsa 2048 >private/cakey.pem)或

(umask 077;openssl genrsa -out private/cakey.pem 2048 )

注释：-out选项需紧跟genrsa

openssl rsa -in server.key -pubout 提取公钥

3.生成证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem

注释：-new:生成新的证书

-x509：证书格式(生成CA自签证书时需要)

openssl x509 -text -in server.crt（查看证书格式）

二：配置证书

1.生成秘钥

(umask 077;openssl genrsa -out ssl/httpd.key 1024)

2.生成证书

openssl req -new -key httpd.key -out httpd.csr

3.交给CA签名

openssl ca -in httpd.csr -out httpd.crt -days 365