一:配置私用CA命令
1.编辑配置文件/etc/pki/tls/openssl.cnf
更改dir 将"../../CA"改为“/etc/pki/CA”
可以更改默认国家、省份、城市
mkdir certs newcerts crl
touch index.txt
touch serial
echo 01 >serial
2.创建私有秘钥(公钥从此生成)
在/etc/pki/CA目录下
(umask 077;openssl genrsa 2048 >private/cakey.pem)或
(umask 077;openssl genrsa -out private/cakey.pem 2048 )
注释:-out选项需紧跟genrsa
openssl rsa -in server.key -pubout 提取公钥
3.生成证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem
注释:-new:生成新的证书
-x509:证书格式(生成CA自签证书时需要)
openssl x509 -text -in server.crt(查看证书格式)
二:配置证书
1.生成秘钥
(umask 077;openssl genrsa -out ssl/httpd.key 1024)
2.生成证书
openssl req -new -key httpd.key -out httpd.csr
3.交给CA签名
openssl ca -in httpd.csr -out httpd.crt -days 365
