如何創(chuàng)建私有CA

這篇文章給大家分享的是有關(guān)如何創(chuàng)建私有CA的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

      私有CA的創(chuàng)建過程，首先準備主機環(huán)境，使用兩臺虛擬機，一臺作為CA，其IP地址為192.168.1.112；一臺作為使用證書的主機，其IP地址為：192.168.1.104

 1，在CA主機上創(chuàng)建CA時所需要的文件

           在/etc/pki/CA目錄下創(chuàng)建所需文件，如下圖所示：

 2，創(chuàng)建私鑰文件：

        使用的命令：(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

3，CA主機生成證書請求，自己為自己頒發(fā)證書 

           命令：openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem
                -new: 生成新的證書簽署請求；
                -x509: 專用于CA生成自簽證書；
                -key: 生成請求時用到的私鑰文件；
                -days n：證書的有效期限；單位為“天”
                -out:指明 證書的保存路徑；

4，需要使用證書的主機上生成私鑰文件

    以http服務(wù)為例說明，在/etc/httpd目錄下新建ssl目錄

生成私鑰文件，如下圖所示：

5，生成CA請求

6，向CA主機發(fā)送請求請求

7，CA簽署證書

8，CA將簽署過的證書發(fā)回發(fā)送請求的主機

CA簽署的證書已經(jīng)生成

查看證書的索引文件：此文件包括證書編號和subject信息

01.pem為生成的證書，此處放于當前目錄下的newcerts目錄下，真正在互聯(lián)網(wǎng)上應(yīng)用時應(yīng)將證書放于certs目錄下，將證書名字改為需要使用證書的主機名字即可，以方便識別。

 
     到此為止，私有CA創(chuàng)建全部完成，下面介紹如何吊銷證書

1,在客戶端獲取證書的序列號serial

2，吊銷證書 ：

3，生成需要吊銷的證書的編號：

,

4，更新吊銷證書列表：

感謝各位的閱讀！關(guān)于“如何創(chuàng)建私有CA”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！