rhel下的CA自签名与https的搭建
CA证书颁发机构的软件包:openssl
服务不需要配置和启动
主要的配置目录/etc/pki/CA
目录中应该有以下4个目录
certs crl newcerts private
准备 在/etc/pki/CA目录下创建两个文件
touch index.txt
echo 01>serial
第一步 创建CA证书服务器的证书(公钥)和私钥
(umask 077; openssl genrsa -out private/cakey.pem 2048) 生成私钥
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem 生成CA证书
到此CA证书颁发机构配置完成
第二步 自签名
新建一个目录,用来放http的证书和私钥
mkdir /etc/httpd/ssl (这里我已经先装了http)
生成http的私钥 ,在/etc/httpd/ssl下操作
(umask 077; openssl genrsa -out http.key 2048)
生成http的证书
openssl req -new -key http.key -days 365 -out http.csr
本地CA自签名
openssl ca -in /etc/httpd/ssl/http.csr -out /etc/httpd/ssl/http.crt -days 365
签名途中会询问是否确定 按y确定
签名完成
此时可以查看/etc/pki/CA/index.txt 文件,里面会有签名客户端的详细信息,
serial文件中的值自动+1
第三步 配置https网站
安装http服务和https的模块
包名:http mod_ssl
https网站的配置文件/etc/httpd/con.d/ssl.conf
修改项:
启用·
#DocumentRoot "/var/www/html"
#ServerName www.test.com:443
修改
SSLCertificateFile /etc/httpd/ssl/http.crt 改为https服务端证书的路径,CA签过名的
SSLCertificateKeyFile /etc/httpd/ssl/http.key 改为https服务端私钥的路径
修改完成,重启服务即可