1、生成密钥:CA私钥的存储位置为/etc/pki/CA/private下一般存储名字为cakey.pem的名字权限只有属主有权限(因为和配置文件中的文件保持一直)
[root@wukui CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bitlong modulus
....................+++
................+++
命令解释:
umask 077:设置生成的文件的权限
genrsa:生成私钥
-out:私钥存放路径
2048:2048字节计算(默认为1024)
2、自签证书
自动在私钥中提取公钥放到自签证书中,用来验证所颁发证书的合法性。
注意路径文件名:存放密钥库的目录为private,生成的自签文件存放在/CA目录下即可名字一般 为(carert.pem与配置文件中的名字保存一致)
(在/etc/pki/tls/openssl.cnf这个配置文件默认有一定的定义。。尽量不要修改,)
[root@wukui CA]# openssl req -new -x509 -key/etc/pki/CA/private/cakey.pem -out /etc/pki/CA/carert.pem -days 3655
You are about to be asked to enterinformation that will be incorporated
into your certificate request.
What you are about to enter is whatis called a Distinguished Name or a DN.
There are quite a few fields but youcan leave some blank
For some fields there will be adefault value,
If you enter '.', the field will beleft blank.
-----
Country Name (2 letter code) [XX]:cn------------国家
State or Province Name (full name)[]:ning---------省份
Locality Name (eg, city) [DefaultCity]:ning-------地区
Organization Name (eg, company)[Default Company Ltd]:ning------公司名称
Organizational Unit Name (eg,section) []:ning------公司的部门名称
Common Name (eg, your name or yourserver's hostname) []:wukui----CA服务器主机名
Email Address []:ning@qq.com---------管理员邮箱
命令解释:
req:生成证书签署请求
-new:新请求
-key /path/to/keyfile:指定私钥文件位置
-out /path/to/somefile:指定证书文件存放在位置
-x509:生成自签证书
-days n:指定过期天数
3、初始化工作环境
(#vim/etc/pki/tls/openssl.cnf在这个配置文件默认有一定的定义。。尽量不要修改,没有的文 件,我们自己创建文件)
[root@wukui CA]# touch/etc/pki/CA/{index.txt ,serial}
[root@wukui CA]# echo 01 > serial -------输入一个编号,用来以后管理办法了多少证书
index.txt------索引文件用匹配证书编号
serial----证书序列号存放文件