如何创建私有CA

创建私有CA

前提：已安装OPSSL，可以通过rpm -q opensll 查看
Openssl介绍：
Openssl是一种开源的实现https的数据加密传输工具，openssl提供了两个重要的库文件：（1）libcrypto，是通用的加密库，提供了各种的加密函数（2）libssl，是一种基于会话的，实现身份认证的、数据加密性和完整性的TLS/SSL协议库。
Openssl还提供了一个命令行工具openssl，可以实现对文件进行多种方式的加密解密和生成密钥等多种用处，下面我们就介绍如何使用openssl创建私有CA
第一步：编辑openssl的配置文件/etc/pki/tls/openssl.cnf 把里面的相对路径../../CA改为绝对路径/etc/pki/CA




设置一些内容的默认值（方便以后用，不用手动输入，直接使用默认的值），




创建目录：所需目录和文件（这些文件都是在配置文件标有的）
目录：certs newcerts crl




文件：index.txt serial（证书序列号，需要赋值）




第二步：为CA生成私钥
切换到/etc/pki/CA执行生成密钥命令




第三步：创建CA自签署证书





利用此证书为其他服务应用签署证书，以httpd服务为例
（这里我们http服务器和CA用一台电脑，方便实验）
1、切换工作目录到httpd，创建ssl目录（不是必须的，你也可以自己定）




2、为httpd服务生成密钥




3、生成签署申请：




4、加签署申请传送给CA，CA签署后，将签署后的证书再传给httpd服务器（这里是同一台机器，直接让CA签署就行了）
5、编辑一下httpd服务器的配置文件/etc/httpd/conf.d/ssl.conf启用证书功能就行了
注:httpd服务器要想使用ssl功能得安装mod_ssl模块，ssl/conf文件是装载了mod_ssl模块后生成的。
将ssl.conf文件的内容作如下更改




保存重启httpd服务。
6、测试。
（1）在另一台电脑上用浏览器浏览www.a.com（要用https协议你访问）




（2）从httpd服务器上下载证书，安装后再浏览