准备两台主机,一台作为CA,IP地址为172.16.125.126;另一台作为用户,即证书请求的主机,IP地址为172.16.125.125。

        在主目录为CA的相关信息就是CA所在主机。而主目录为ssl的相关信息就是客户机,即要使用到证书的主机。

第一步:在准备创建私有CA的主机上创建私有密钥;

        [root@localhost CA]# cd /etc/pki/CA
        [root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)

        wKiom1YNEDqTxFIrAADBD84JGRE302.jpg

    主要是为了在CA主机上生成私钥文件,指明私钥文件为/etc/pki/CA/cdkey.pem,加密长度为2048。

第二步:创建作为CA主机所需要的文件;

    在当前目录下创建index.txt和serial文件,并且在serial文件中。

[root@localhost CA]# touch index.txt
[root@localhost CA]# echo 01 > serial

        wKiom1YNElOCXyb_AAA-oP0ct6s614.jpg

第三步:CA主机自身生成证书请求,也就是为自己颁发证书。

[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300

        wKioL1YNEtSjca6cAAKg0u2LDsk518.jpg

第四步:要使用证书的主机生成颁发证书请求;   

        在证书请求的主机上建一个ssl目录,切换到该目录下。 

[root@localhost ssl]# (umask 077;openssl genrsa -out httpd.key 1024)

        wKioL1YNE32iwZ4pAACySB18MTI930.jpg

[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr

        wKioL1YNE--DsNMyAAOuh5v5LDE733.jpg

第五步:将请求文件传输给CA所在主机;使用scp命令。

[root@localhost ssl]# scp httpd.csr root@172.16.125.126:/tmp/

        wKiom1YNFQbCFCR0AAHHUYFwM54984.jpg

第六步:CA所在主机签署证书,回应证书请求;

[root@localhost CA]# openssl ca -in /tmp/httpd.csr -out certs/web2.lcs.com.crt -days 365

        wKiom1YNFYjQH3lfAAC_8cXiKH8899.jpg

第七步:CA所在的主机将签署完成的证书,发送回请求主机;

[root@localhost CA]# scp certs/web2.lcs.com.crt 172.16.125.125:/etc/httpd/ssl/

        wKiom1YNFgPzKOgDAAGZOc0lOdE682.jpg

通过以上步骤,就完成了私有CA的创建,以及证书的颁发。