笔记----局域网内 创建私有CA和申请CA步骤

准备环境：2台虚拟机，centos6.7(客户端)和centos7.0（服务端）

配置文件：/etc/pki/tls/openssl.cnf

①、创建所需要的文件

touch /etc/pki/CA/index.txtecho 01 > /etc/pki/CA/serial

②、cd /etc/pki/CA 目录下

生成私钥

（umask 066; openssl genrsa -out private/cakey.pem 2048）

生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out  /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求

-x509:专用于CA生成自签证书

-key:生成请求时用到的私钥文件

-days n:证书的有效期

-out /PATH/TO/SOMECERTFILE： 证书保存路径

③、在客户端（6.7）生成私钥

（umask 066; openssl genrsa -out /etc/pki/CA/httpd.key 1024）

生成证书申请文件：

openssl req -new -key /etc/pki/CA/httpd.key -days 365 -out /etc/pki/CA/httpd.csr

注意：国家，省 ，公司名称必须和CA一致

④、将证书文件传送到（7.0）上

scp /etc/pki/CA/httpd.csr 192.168.1.10（ip地址）：/etc/pki/CA/newcerts

⑤、

openssl ca -in /et/pki/CA/newcerts/httpd.csr -out  /etc/pki/CA/certs/httpd.crt -days 365

把httpd.crt传回（6.7）

scp /etc/pki/CA/certs/httpd.crt ip地址：/etc/pki/CA/