本文共 1201 字，大约阅读时间需要 4 分钟。

rh333 - 搭建简易CA中心

Version: RHEL 5.8 x32

修改搭建CA的配置文件: vim /etc/pki/tls/openssl.cnf dir             = /etc/pki/CA certificate     = $dir/my-ca.crt private_key     = $dir/private/my-ca.key 根据CA中心默认的配置策略,可以找到如下3个match选项,这表示在生成请求证书文件(*.csr)时,这3项必须一致 # For the CA policy [ policy_match ] countryName             = match stateOrProvinceName     = match organizationName        = match organizationalUnitName  = optional commonName              = supplied emailAddress            = optional 为方便本机测试，建议给这些选项配置默认值 /etc/pki/tls/openssl.cnf countryName_default             = GB stateOrProvinceName_default     = Berkshire localityName_default            = Newbury 0.organizationName_default      = My Company Ltd 执行/etc/pki/tls/misc/CA -newca然后中断生成/etc/pki/CA下的目录, 或者可以手动建立如下目录或者文件: mkdir /etc/pki/CA mkdir /etc/pki/CA/certs mkdir /etc/pki/CA/crl mkdir /etc/pki/CA/newcerts mkdir /etc/pki/CA/private echo "00" > /etc/pki/CA/serial touch /etc/pki/CA/index.txt 生成CA中心私钥： (umask 077; openssl genrsa -des3 -out my-ca.key 2048) 查看CA私钥： openssl rsa -in my-ca.key 生成CA中心公钥(x509表示自签名公钥,没有x509选项则表示生成需要CA中心签名的证书请求文件csr)： openssl req -x509 -new -key my-ca.key -out my-ca.crt 查看CA公钥指纹： openssl x509 -fingerprint -in my-ca.key -noout -sha1 openssl x509 -fingerprint -in my-ca.key -noout -md5 至此CA中心搭建完毕,我们已经可以用它来给证书请求文件csr签名了.

转载地址：http://pitai.baihongyu.com/