建立私有CA

Posted 2020-11-06

使用openssl建立私有CA

第一步，生成私钥

命令：（umask 077; openssl genrsa –out /etc/pki/CA/private/cakey.pem 4096）

命令注释：加括号，是为了启动子进程，更改umask,不影响原进程的umask。Cakey.pem是生成的私钥文件 长度是4096，不用umask也可以，但是生成私钥文件之后要手动修改权限为仅用户可rw（读写）

第二步，生成自签证书

命令：openssl req –new –x509 –key /etc/pki/CA/private/cakey.pem –out /etc/pki/CA/cacert.pem –days 3650
命令注释：-key 指明私钥 -out 输出自签证书

输入命令后的说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，

如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com 这一项必须和你的域名一致
Email Address []:

第三步，为CA提供所需的目录及文件

命令：
创建目录 ：mkdir –pv /etc/pki/CA/{certs,crl,newcerts}
创建文件：touch /etc/pki/CA/{serial,index.txt}
追加证书序列号：echo 01 > /etc/pki/CA/serial

至此，私有CA建立完成，下面是向私有CA请求签署个人证书

向私有CA请求签署证书

第一步，创建证书存放目录，生成私钥

创建目录：mkdir /etc/httpd/ssl
切换到此目录：cd /etc/httpd/ssl
生成私钥：(umask 077; openssl genrsa –out /etc/httpd/ssl/httpd.key 2048)
命令注释： -out 生成的私钥文件路径
2048 私钥长度

第二步，生成证书签署请求

签证请求：openssl rea –new –key /etc/httpd/ssl/httpd.key –out /etc/httpd/ssl/httpd.csr –days 365
命令注释： -key 第一步生成的私钥文件
-out 生成的证书文件
-days 证书的有效期

第三步，将请求文件发送给CA主机

把第二步生成的证书发送或者copy到CA主机，然后在CA主机签署此证书

第四步，在CA主机上签署证书

openssl ca –in /tmp/httpd.csr –out /etc/pki/CA/certs/httpd.crt –days365
命令注释： -in 要签署的证书文件
-out 经过CA签署的证书
-days 证书有效期

查看证书中的信息

openssl x509 –in /etc/pki/CA/certs/httpd.crt –noout –serial –subject

如有不当之处，或者建议，欢迎指出，thank!!!