本文主要介绍私有CA的创建过程,首先准备主机环境,使用两台虚拟机,一台作为CA,其IP地址为192.168.1.112;一台作为使用证书的主机,其IP地址为:192.168.1.104

 1,在CA主机上创建CA时所需要的文件

           在/etc/pki/CA目录下创建所需文件,如下图所示:

wKiom1YZMGvzphXfAAF566ZMnpI566.jpg

 2,创建私钥文件:

        使用的命令:(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

wKiom1YZMlLT_ntYAAEZsrxjfGo376.jpg

  wKioL1YZNjaSETaCAACbmLtH_Zs913.jpg

3,CA主机生成证书请求,自己为自己颁发证书 

           命令:openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem
                -new: 生成新的证书签署请求;
                -x509: 专用于CA生成自签证书;
                -key: 生成请求时用到的私钥文件;
                -days n:证书的有效期限;单位为“天”
                -out:指明 证书的保存路径;


wKiom1YZN6mysM3zAARTWg54sz8247.jpg


4,需要使用证书的主机上生成私钥文件

    以http服务为例说明,在/etc/httpd目录下新建ssl目录

wKioL1YZOOvTnkBQAAENFT3DO5E385.jpg

生成私钥文件,如下图所示:

wKiom1YZOk3Tz4KtAAFIuZWiihg753.jpg

wKioL1YZOvSx2EAvAABmfkbVA-w255.jpg

5,生成CA请求

wKiom1YZPNfxuZhMAASVTmc1iVo587.jpg

wKioL1YZPQeCGvdtAABxRBAlc_s493.jpg

6,向CA主机发送请求请求

wKioL1YZPzijytf-AADqI9AnE2o395.jpg

wKiom1YZQNShK1j7AAELSfya25g649.jpg

7,CA签署证书

wKioL1YZQSXzd62BAALcUlqE9VM203.jpg



wKioL1YZQTjzQj9VAAOCFk9OOjE709.jpg

8,CA将签署过的证书发回发送请求的主机

wKiom1YZQtPB1woVAAI5nujODsk841.jpg

CA签署的证书已经生成

wKiom1YZQvbz0YSoAAFchJFGx-I246.jpg

查看证书的索引文件:此文件包括证书编号和subject信息

wKioL1YZu-WBkslVAAHnxm4TXnI799.jpg

01.pem为生成的证书,此处放于当前目录下的newcerts目录下,真正在互联网上应用时应将证书放于certs目录下,将证书名字改为需要使用证书的主机名字即可,以方便识别。

 
     到此为止,私有CA创建全部完成,下面介绍如何吊销证书

1,在客户端获取证书的序列号serial

     wKiom1YZxCChojLvAAEfm4opw48277.jpg

2,吊销证书 :

     wKioL1YZxpqQN7-BAAEBishPac4192.jpg

3,生成需要吊销的证书的编号:

wKiom1YZyzSg6EVgAAFjthdDbb4863.jpg,

4,更新吊销证书列表:

wKiom1YZypyxzDE8AACnn_MXENQ920.jpg

至此,证书吊销工作完毕