實現CA和證書申請

文字說明

1 在CA上執行，創建CA
cd /etc/pki/CA
touch index.txt
echo 0F > serial
(umask 077;openssl genrsa -out private/cakey.pem 2048)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
填寫多項內容：國家，省，城市，公司等
2 客戶端執行
(umask 077;openssl genrsa -out /data/app.key 2048)
openssl req -new -key /data/app.key -out /data/app.csr
填寫多項內容：國家，省，城市，公司等
scp /data/app.csr 到CA服務器上
3 在CA上執行，頒發證書
cd /etc/pki/CA
openssl ca -in app.csr -out certs/app.crt -days 100
4 驗證證書
openssl verify -CAfile cacert.pem certs/app.crt certs/app2.crt
OK
5 查看證書內容
openssl x509 -in certs/app.crt -noout -text

---

.CA重要配置文件

***

1.服務器實操

一、建立所須要的文件

touch /etc/pki/CA/index.txt 生成證書索引數據庫文件

echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號

二、（根） CA自簽證書

2.1生成私鑰.pem

cd /etc/pki/CA/

(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

2.2根據私鑰（cakey.pem）生成自簽名證書（cacert.pem）

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

---

2.客戶端實操

1.生成私鑰.key

(umask 077;openssl genrsa -out app.key 1024)

2.證書申請文件-----根據私鑰（app.key）生成證書申請文件（app.csr）

openssl req -new -key /data/app.key -out /data/app.csr

3.將生成的證書申請文件（app.csr）發送給CA服務器

scp /data/app.csr CA服務器IP:目錄路徑

---

回到CA服務器

1.確認是否已經收到客戶端發來的證書申請文件（app.csr）

2.頒發證書-----根據客戶端發來的申請文件（app.csr）頒發證書（app.crt）

openssl ca -in app.csr -out certs/app.crt -days 100

執行完上面的命令後，會在newcerts目錄下生成以「echo 0F > /etc/pki/CA/serial 指定第一個頒發證書的序列號」的.pem文件，其實和生成的證書是同一個文件

3.將頒發的證書發送給客戶端

scp certs/app.crt 客戶端IP:存放的目錄

---

說明：

服務器：
1：cakey.pem：私鑰
2：cacert.pem：自簽名證書------根據私鑰（cakey.pem）生成自簽名證書（cacert.pem）
客戶端：
key:本身的私鑰
csr:客戶端根據本身私鑰生成的申請證書文件
crt:服務器頒發給客戶端的證書