创建所需要的文件
[root@centos7 ~]# touch /etc/pki/CA/index.txt(生成证书索引数据库文件)
[root@centos7 ~]# echo 01 > /etc/pki/CA/serial(指定第一个颁发证书的序列号)
CA自签证书
生成私钥
cd /etc/pki/CA/
生成自签名证书
[root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
-new: 生成新证书签署请求
-x509: 专用于CA 生成自签证书
-key: 生成请求时用到的私钥文件
-days n :证书的有效期限
-out / PATH/TO/SOMECERTFILE : 证书的保存路径
我们可以把生成的这个证书传到window上进行查看,当然
要把文件后缀名改为.cer结尾的。
可以看到生成的证书信息
颁发证书
在需要使用证书的主机生成证书请求
给web服务器生成私钥
[root@centos6 ~]# (umask 066;openssl genrsa -out /etc/pki/tls/private/test.key 2048)
生成证书申请文件
[root@centos6 ~]# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test.csr
将证书请求文件传输给CA
[root@centos6 tls]# scp test.csr 172.17.252.89:/etc/pki/CA
CA签署证书,并将证书颁发给请求者
[root@centos7 CA]# openssl ca -in test.csr -out certs/test.crt -days 365
注意:默认国家,省,公司名称三项必须和CA一致
把生成的证书传给请求者
查看证书中的信息
[root@centos6 certs]# openssl x509 -in test.crt -noout -text -issuer -subject -serial -dates
我们也可以在windows上查看证书信息
再次申请证书,此时CA自签证书的步骤就可以省了。
生成证书申请文件
[root@centos6 ~]# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test1.csr
将证书请求文件传输给CA
CA签署证书,并将证书颁发给请求者
[root@centos7 CA]# openssl ca -in test1.csr -out certs/test1.crt -days 365
[root@centos7 CA]# vim /etc/pki/tls/openssl.cnf
这样就OK了。
查看已颁发证书的记录
openssl ca -status SERIAL 查看 指定编号的证书状态
吊销证书
在客户端获取要吊销的证书的serial
openssl x509 -in / PATH/FROM/CERT_FILE -noout
-serial -subject
在CA 上,根据客户提交的serial 与subject 信息,对比检验是否与index.txt文件中的信息一致,吊销证书
指定第一个吊销证书的编号
注意:第一个更新证书吊销列表前,才需要执行
[root@centos7 CA]# echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表
查看crl文件
[root@centos7 CA]# openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
可以把它传到windows进行查看,记得改后缀为.crl