1,首先编辑配置文件(目的指明CA的目录/etc/pki/CA)

   #vim   /etc/pki/tls/openssl.cnf

    [ CA_default ]

dir             = /etc/pki/CA           # Where everything is kept
certs           = $dir/certs            # Where the issued certs are kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.

#修改完成后可以保存退出

 

2,制作CA自己的私钥存储为

   切换到CA目录

        #(umask 77;openssl genrsa 2048 > private/cakey.pem)

     生成的密钥存储于/etc/pki/CA/private/cakey.pem

  生成自签证书(文件名cacert.pem)

  命令# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

  建立CA工作需要的必要目录与文件

  mkdir certs newcerts crl

  touch index.txt serial

  echo 01 > serial          #serial需要一个起始号用echo送入01

 

3,CSR证书签署请求 (某服务器要用http服务)

  制作自己的私钥

   #openssl genrsa 1024 > httpd.key

   通过自己的私钥制作CSR (CSR中包含自己的公钥和自己的基本信息)

   #openssl req -new -key httpd.key -out httpd.csr

4,CA认证公钥 (CA对CSR认证,做出签署)
   #openssl ca -in httpd.csr -out httpd.crt