本文共 1201 字,大约阅读时间需要 4 分钟。
rh333 - 搭建简易CA中心Version: RHEL 5.8 x32
修改搭建CA的配置文件: vim /etc/pki/tls/openssl.cnf dir = /etc/pki/CA certificate = $dir/my-ca.crt private_key = $dir/private/my-ca.key 根据CA中心默认的配置策略,可以找到如下3个match选项,这表示在生成请求证书文件(*.csr)时,这3项必须一致 # For the CA policy [ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional 为方便本机测试,建议给这些选项配置默认值 /etc/pki/tls/openssl.cnf countryName_default = GB stateOrProvinceName_default = Berkshire localityName_default = Newbury 0.organizationName_default = My Company Ltd 执行/etc/pki/tls/misc/CA -newca然后中断生成/etc/pki/CA下的目录, 或者可以手动建立如下目录或者文件: mkdir /etc/pki/CA mkdir /etc/pki/CA/certs mkdir /etc/pki/CA/crl mkdir /etc/pki/CA/newcerts mkdir /etc/pki/CA/private echo "00" > /etc/pki/CA/serial touch /etc/pki/CA/index.txt 生成CA中心私钥: (umask 077; openssl genrsa -des3 -out my-ca.key 2048) 查看CA私钥: openssl rsa -in my-ca.key 生成CA中心公钥(x509表示自签名公钥,没有x509选项则表示生成需要CA中心签名的证书请求文件csr): openssl req -x509 -new -key my-ca.key -out my-ca.crt 查看CA公钥指纹: openssl x509 -fingerprint -in my-ca.key -noout -sha1 openssl x509 -fingerprint -in my-ca.key -noout -md5 至此CA中心搭建完毕,我们已经可以用它来给证书请求文件csr签名了.转载地址:http://pitai.baihongyu.com/