安装openssl(这个就不做多解释)
yum install -y openssl
[服务配置文件]:/etc/pki/tls/openssl.cnf
-----------------------------------------------------
【搭建自签证书所需环境】
1.所需文件夹及文件 [/etc/pki/CA]
[文件夹,一般安装openssl服务后自动创建]
certs
crl
newcerts
private
[文件,通常需要自己创建]
serial
index.txt
2.指明颁发证书编号[初始化编号,当颁发证书之后,将会自动递增数值]
echo "01" > serial
3.生成私钥[唯一性]
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)
简记:openssl genrsa -out /etc/pki/CA/private/cakey.pem
[根据服务配置文件中要求的私钥存放位置进行创建私钥,默认私钥为2048位,为了安全将默认文件权限修改成了077即700,只有root自己可以修改]
[配置文件中:CA_default组中,private_key = 路径 ]就是秘钥的存放路径,默认就在/etc/pki/CA/private/cakey.pem 名称也是对应着 cakey.pem
--------------------------------------------------
自签证书[起初需要给CA服务器颁发一个证书]
--------------------------------------------------
openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
[参数介绍]
req 申请证书
-new 生成新证书
-x509 标识为自签证书
-key 生成证书所需的私钥[默认存放在/etc/pki/CA/private/cakey.pem]
-days 证书有效期[默认356天]
-out 输出文件位置
----------------------
申请内容依次为
Country Name (2 letter code) [XX]:CN
国家名称(2个字母代码)[XX]:CN
State or Province Name (full name) []:beijing
州或省名(全称)[]:beijing
Locality Name (eg, city) [Default City]:beijing
地名(如城市)[默认城市]:beijing
Organization Name (eg, company) [Default Company Ltd]:jishubu
组织名称(如公司)[默认公司有限公司]:jishubu
Organizational Unit Name (eg, section) []:sales
组织单元名称(例如,节)[]:sales
Common Name (eg, your name or your server's hostname) []:ca.yu.com
常用名称(例如,您的名字或服务器的主机名)[]:ca.yu.com
Email Address []:admin@ca.yu.com
电子邮件地址[]:root@ca.yu.com
--------------------------------------------------
颁发证书