openssl创建私有CA

Posted 2020-07-07

　vim /etc/pki/tls/openssl.conf 打开配置文件 

切换到/etc/pki/CA:     cd /etc/pki/CA

创建缺少的文件 touch index.txt

　　　　　　　　echo 01 > serial 

CA自签证书 （umask 077；openssl genrsa -out private/cakey.pem 2048）2048用于指定密钥长度

　　　　　　openssl req -new -x509 -key private/cakey.pem -days 7300 -out private/cacert.pem 

　　　　　　-new 用于生成新证书签署请求

　　　　　　-x509 用于CA生成自签证书

　　　　　　-key 用于指明私钥文件

　　　　　　-days 证书有效天数

　　　　　　-out 证书保存路径

用到证书的主机生成证书请求

　　生成私钥 （umask 077; openssl genrsa -out path/to/somewhere/name.key 2048）

　　生成请求 openssl req -new -key path/to/somewhere/name.key -days 356 -out name.csr 

　　把请求送到目标主机 scp name.csr [email protected]:/tmp 

 

目标主机签证 openssl ca -in /tmp/name.csr -out /etc/pki/CA/certs/name.crt -days 356