使用OpenSSL颁发CA证书
CA服务器端
使用cd 切换到/etc/pki/CA
在CA下使用命令(umask 66; openssl genrsa 2048 > private/cakey.pem)生成CA证书的私钥;
使用命令 ll private验证
使用命令openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655给CA服务器自签证书;
然后如图配置“国家 州或省等信息”
 
注:Comon name必须是一个完全的限定域名,必须以后所用的域名完全相同。
使用 ls 查看
使用命令打开vim  /etc/pki/tls/openssl.cnf 并编辑
 
如图找到[CA_default ]字段将dir的相对路径改为绝对路径
 
并将[ req_distinguished_name ]字段中的国家等进行配置如图
 
还可以将修改一些默认值;
完成后保存退出。
然后创建所需目录及文件
创建目录mkdir certts newcerts crl
创建文件touch index.txt serial
创建 serial的序列号文件 ehco 01 > serial
CA服务所需配置完毕。
CA服务器受到证书请求后发送证书:
Openssl ca –in /tmp/server.csr –out /tmp/server.crt –days 3650
 
 
客户端获得证书:
客户端先生成自己私钥:
(umask 66; openssl genrsa 1024 > server.key)
然后生成证书颁发请求:
Openssl req –new –key server.key –out server.csr
等待CA服务器端确认客户端信息,确认后颁发CA证书。
客户端得到CA证书(/tmp/server.crt)