建立CA
1.进入/etc/pki/CA
cd /etc/pki/CA
2.生产CA的私钥文件
(umask 077 ; openssl genrsa -out private/cakey.pem 4096)
3.自签名 (req q请求 -x509 表示自签名证书)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 <<EOF
> CN
> zhejiang
> hangzhou
> alibaba
> devops
> www.taobao.com
> 294584230@qq.com
> EOF
4.创建index文件
touch /etc/pki/CA/index.txt
5.创建serial文件,并从0开始编号,编号是16进制数
echo 00 > /etc/pki/CA/serial
申请证书
1.生成秘钥
(umask 066; openssl genrsa -out app.key 1024 )
2.申请证书
openssl req -new -key app.key -out app.csr
3.发送申请
scp /data/app/app.csr CAServerIP:/data/
颁发证书
openssl ca -in /data/app.csr -out /etc/pki/CA/certs/app.crt -days 100