1. 创建所需要的文件。

    cd /etc/pki/CA目录中,在此目录中 touch index.txt文件

    echo 01 > serial

  2. CA自签证书

    (umask 077;openssl genrsa -out private/cakey.pem 2048)这一步是建立私钥,

    openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem

    这里会进入交互式界面,让你输入国家,省份,城市,公司,部门,网站,邮箱地址

    这是请求签证书 只不过 -x509是自签。至此CA自签证书完毕

    以上都在CA主机上

  3. 发证,当然是企业内部发证,否则别人不认可你的证书

(1)需要证书的主机B1向CA请求发证。

     a.首先建立自己的私钥文件,

     (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

     b.其次建立请求文件,

    openssl req -new -key /etc/httpd/ssl/httpd.key 2048 -out /etc/httpd/ssl/httpd.csr     -days 365

    这里进入交互式界面,让你输入国家,省份,城市,公司,部门,网站,邮箱地址

    注意:一定要公司都要与CA相同。否则不予发证。

(2) 把请求文件传送给CA 

    scp /etc/httpd/ssl/httpd.csr root@192.168.18.200:/tmp/

(3) 以下的在CA主机中进行,进行签证

    openssl ca -in /tmp/httpd.csr -out /tmp/http.crt days 365

(4) 签证完毕后将证书发给请求主机B1 

    scp /tmp/httpd.crt root@192.168.18.130:/etc/httpd/ssl/  当然这个目录必须有

至此所有步骤完成!