構建一個內網的私有CA步驟
阿新 • • 發佈:2017-09-17
etc 有效 創建 註冊 pseudo 證書生成 unit selector bsp 1:使用openssl命令生成一個私鑰,私鑰必須放在/etc/pki/CA/private/目錄下
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
2:通過創建的私鑰提取一個公鑰,再通過公鑰生成的公鑰自簽證書, CA的自簽證書保留在/etc/pki/CA/目錄下
# 說明:-new表示創建一個新的證書,-x509表示創建的是自簽證書,專用於創建私有CA時,-key表示私鑰的路徑,雖然需要提供公鑰,但是會自動從私鑰中提取公鑰,-out表示證書生成的路徑,-days表示證書的有效天數。在輸入命令後,中間需要填寫證書的相關信息
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
自簽證書的信息如下:
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shenzhen
Locality Name (eg, city) [Default City]:shenzhen
Organization Name (eg, company) [Default Company Ltd]:uplooking
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server‘s hostname) []:ca.uplooking.com
Email Address []:[email protected]uplooking.com
3:為私有CA提供所需的目錄及文件,如果目錄存在,則不需要創建
mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
# 創建serial文件,用於保存序列號 index.txt用於保存數據
touch /etc/pki/CA/{serial,index.txt}
echo 01 > /etc/pki/CA/serial 這裏需要將自簽證書註冊一個序列號,以01開始編號
構建一個內網的私有CA步驟