openssl自建CA

 

    首先建立CA服务

    使用openssl建立私有ca需以下三步

    第一步 ca服务端需先生成自己的密钥再从密钥中提取公钥，第二步客户端也要生成密钥对再做生成证书签署请求而后把请求发给ca服务器端，第三步ca服务器端验证请求信息而后签署证书

    选取两个主机一个ip172.16.100.101做ca服务器，另一个ip172.16.100.86做ca申请者具体操作如下：

 生成私钥

 

     自签署证书得公钥信息

 

    初始化工作环境

 

    ls一下

 

    节点生成请求在httpd目录下创建ssl/

 

 

    客户端生成密钥对

 

    生成证书签署请求

 

    在CA服务器端CA目录下创建csr/目录。

    客户端把签署请求发送给CA服务器并放在csr/目录下。

 

 

    CA服务器端签证

 

    再发给客户端

 

 

     如果要吊销证书，证书申请者需先有吊销证书请求。吊销证书获得证书序列号

 

     在ca服务器端一下信息可以跟节点提交的序列号和subject信息验证是否一致

 

     在ca服务器端吊销操作

 

    如果第一次做吊销需生成吊销证书编码

    #echo 00 > /etc/pki/CA/crlnumber

    查看吊销文件内容