1. 创建所需要的文件

    [root@centos7 ~]# touch /etc/pki/CA/index.txt(生成证书索引数据库文件)

    [root@centos7 ~]# echo 01 > /etc/pki/CA/serial(指定第一个颁发证书的序列号)

  2. CA自签证书

    生成私钥

    cd /etc/pki/CA/

    生成自签名证书

  [root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out  cacert.pem  -days 7300

-new:  生成新证书签署请求

-x509:  专用于CA 生成自签证书

-key:  生成请求时用到的私钥文件

-days n :证书的有效期限

-out / PATH/TO/SOMECERTFILE :  证书的保存路径


我们可以把生成的这个证书传到window上进行查看,当然

要把文件后缀名改为.cer结尾的。

可以看到生成的证书信息

颁发证书

在需要使用证书的主机生成证书请求

给web服务器生成私钥

[root@centos6 ~]# (umask 066;openssl genrsa -out  /etc/pki/tls/private/test.key 2048)

生成证书申请文件

[root@centos6 ~]# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out  /etc/pki/tls/test.csr

将证书请求文件传输给CA

[root@centos6 tls]# scp  test.csr  172.17.252.89:/etc/pki/CA

CA签署证书,并将证书颁发给请求者

[root@centos7 CA]# openssl ca -in test.csr  -out certs/test.crt -days 365

注意:默认国家,省,公司名称三项必须和CA一致


 把生成的证书传给请求者

查看证书中的信息

[root@centos6 certs]# openssl x509 -in test.crt -noout -text -issuer -subject -serial -dates

我们也可以在windows上查看证书信息

再次申请证书,此时CA自签证书的步骤就可以省了。

生成证书申请文件

[root@centos6 ~]# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test1.csr

将证书请求文件传输给CA

CA签署证书,并将证书颁发给请求者

[root@centos7 CA]# openssl ca -in test1.csr  -out certs/test1.crt -days 365

[root@centos7 CA]# vim /etc/pki/tls/openssl.cnf

这样就OK了。

查看已颁发证书的记录

openssl ca -status SERIAL 查看 指定编号的证书状态

吊销证书

 在客户端获取要吊销的证书的serial

openssl x509 -in / PATH/FROM/CERT_FILE -noout

-serial -subject

 在CA 上,根据客户提交的serial 与subject 信息,对比检验是否与index.txt文件中的信息一致,吊销证书

指定第一个吊销证书的编号

注意:第一个更新证书吊销列表前,才需要执行

[root@centos7 CA]# echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

wKioL1nO66XQ74edAAAwysWP1FM084.png查看crl文件

[root@centos7 CA]# openssl crl -in  /etc/pki/CA/crl/crl.pem -noout -text

wKiom1nO7E_BhSNlAACOz0zjEJw809.png

可以把它传到windows进行查看,记得改后缀为.crl

wKiom1nO7MWAhwJBAACXImTxelg828.png