一:创建私有CA
openssl的配置文件:/etc/pki/tls/openssl.cnf
根据此配置文件创建CA
dir:CA相关文件存放路径 /etc/pki/CA
certs:证书存放目录 /etc/pki/CA/certs
database:数据库文件 /etc/pki/CA/index.txt
new_certs_dir:新颁发证书存放路径 /etc/pki/CA/newcerts
certificate:自颁发证书 /etc/pki/CA/cacert.pem
serial:下一个证书的序列号 /etc/pki/CA/serial
private_key: 私钥 /etc/pki/CA/private/cakey.pem
crl_dir:证书吊销列表
crlnumber:下一个吊销证书的序列号
default_days 证书有效期
policy:策略
countryName = match 匹配
stateOrProvinceName =match 匹配
organizationName = match 匹配
客户端向服务端申请CA证书,此三项必须匹配
若策略由match更改为其他选项,则不用强制匹配
1:创建所需要的文件夹
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号