参考文档:
https://www.cnblogs.com/yanshicheng/p/13424198.html
http://www.yunweipai.com/4513.html
https://www.linuxidc.com/Linux/2017-10/147349.htm
思路
搭建CA服务分为2个阶段。
1,准备CA证书,包括CA根证书(信任证书),CA的私钥
2,使用CA证书颁发证书
1,生成私钥
#三条命令都是生成私钥的,可对比查看
genrsa -aes128 -passout pass:Yunweipai@123 -out web_key.pem
root@localhost ~]#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048 )
[root@djcy-200 CA]# (umask 066; openssl genrsa -out private/cakey.pem -des3 2048)
2.创建申请者的证书颁发请求
这一步在申请的机器上操作,如果是CA服务器自己给自己颁发则就再CA服务器上执行也可以。
openssl req -new -key web_key.pem -passin pass:Yunweipai@123 -config /home/yunweipai/openssl_ca/openssl.conf -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=UProject/OU=Yunweipai/CN=www.yunweipai.com" -batch -out web_csr.pem
[root@localhost ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
[root@djcy-200 CA]# openssl req -new -x509 -key private/cakey.pem -days 18250 -out /etc/pki/CA/cacert.pem
openssl req -new -key web_key.pem -passin pass:Yunweipai@123 -config /home/yunweipai/openssl_ca/openssl.conf -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=UProject/OU=Yunweipai/CN=www.yunweipai.com" -batch -out web_csr.pem
[root@localhost ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
[root@djcy-200 CA]# openssl req -new -x509 -key private/cakey.pem -days 18250 -out /etc/pki/CA/cacert.pem
3.申请颁发证书
openssl ca -days 365 -config openssl.conf -keyfile ca_key.pem -key Yunweipai@123 -cert ca_cert.cer -in /home/yunweipai/user_certs/web_csr.pem -out web.cer
4.证书终于颁发完了,通过这个命令,可以验证web.cer是由ca_cert.cer颁发的:
openssl verify -CAfile ca_cert.cer web.cer
web.cer: OK