步骤
一、创建所需要的文件
所有的有关设置都在 /etc/pki/tls/openssl.cnf 内有相应设置和描述
1.生成的证书索引的数据库文件(CA端)
默认不存在
touch /etc/pki/CA/index.txt
2.下一个生成证书的索引编码(CA端)
echo 01 > /etc/pki/CA/serial
二、CA自签证书(CA端)
1.生成私钥(CA端)
(umask 066 ; openssl genrsa -out private/cakey.pem -des3 1024)
2.生成自签名证书(CA端)
req -new -x509 -key private/cakey.pem -out cacert.pem -days 3000
选项解释:
三.颁发证书
1. 在需要使用证书的主机生成证书请求(服务器端)
生成私钥(服务器端)
(umask 066 ; openssl genrsa -out /etc/pki/CA/private/test.key -des3 1024)
利用私钥生成请求文件(服务器端)
openssl req -new -key private/test.key -out test.csr -days 365
注意:policy策略是 policy_math时 ;match项必须相同
2.将证书请求文件传输给CA(服务器端)
scp test.csr 172.17.0.116:/etc/pki/CA/
3.CA签署证书,并将证书颁发给请求者(CA端)
#颁发证书
openssl ca -in test.csr -out certs/test.crt
#颁发的证书发送给申请者
scp certs/test.crt 172.17.1.116:/etc/pki/tls/certs/
4. 查看证书中的信息:
openssl x509 -in /etc/pki/tls/certs/test.crt -noout -subject -issuer -dates
#查看证书命令格式
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态