建立私有CA

      本文主要介紹私有CA的建立過程，首先準備主機環境，使用兩臺虛擬機，一臺做爲CA，其IP地址爲192.168.1.112；一臺做爲使用證書的主機，其IP地址爲：192.168.1.104

 1，在CA主機上建立CA時所須要的文件

           在/etc/pki/CA目錄下建立所需文件，以下圖所示：

 2，建立私鑰文件：

        使用的命令：(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

 

3，CA主機生成證書請求，本身爲本身頒發證書 

           命令：openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem
                -new: 生成新的證書籤署請求；
                -x509: 專用於CA生成自簽證書；
                -key: 生成請求時用到的私鑰文件；
                -days n：證書的有效期限；單位爲「天」
                -out:指明 證書的保存路徑；

4，須要使用證書的主機上生成私鑰文件

    以http服務爲例說明，在/etc/httpd目錄下新建ssl目錄

生成私鑰文件，以下圖所示：

5，生成CA請求

6，向CA主機發送請求請求

7，CA簽署證書

8，CA將簽署過的證書發回發送請求的主機

CA簽署的證書已經生成

查看證書的索引文件：此文件包括證書編號和subject信息

01.pem爲生成的證書，此處放於當前目錄下的newcerts目錄下，真正在互聯網上應用時應將證書放於certs目錄下，將證書名字改成須要使用證書的主機名字便可，以方便識別。

 
     到此爲止，私有CA建立所有完成，下面介紹如何吊銷證書

1,在客戶端獲取證書的序列號serial

    

2，吊銷證書 ：

    

3，生成須要吊銷的證書的編號：

,

4，更新吊銷證書列表：

至此，證書吊銷工做完畢