Centos 6.4 用openssl 簽發(fā)證書(shū)第一步：先建立一個(gè) CA 的證書(shū)，首先為 CA 創(chuàng)建一個(gè) RSA 私用密鑰，#cd /etc/pki/CA#openssl genrsa -des3 -

Centos 6.4 用openssl 簽發(fā)證書(shū)

第一步：先建立一個(gè) CA 的證書(shū)，

首先為 CA 創(chuàng)建一個(gè) RSA 私用密鑰，

#cd /etc/pki/CA

#openssl genrsa -des3 -out ca.key 1024

(由于windows 系統(tǒng)下的ssl_module不支持加密密鑰，使用openssl genrsa -out ca.key 1024)

系統(tǒng)提示輸入 PEM pass phrase，也就是密碼，輸入后牢記它。

生成 ca.key 文件，將文件屬性改為400。

#chmod 400 ca.key

你可以用下列命令查看它的內(nèi)容，

#openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密鑰創(chuàng)建一個(gè)自簽署的 CA 證書(shū)（X.509結(jié)構(gòu)）

#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然后需要輸入下列信息：

Country Name: CN //兩個(gè)字母的國(guó)家代號(hào)

State or Province Name: Guangdong //省份名稱(chēng)

Locality Name: Guangzhou //城市名稱(chēng)

Organization Name: //公司名稱(chēng)

Organizational Unit Name: //部門(mén)名稱(chēng)

Common Name: //你的姓名

Email Address: //Email地址

生成 ca.crt 文件，將文件屬性改為400。

#chmod 400 ca.crt

你可以用下列命令查看它的內(nèi)容，

#openssl x509 -noout -text -in ca.crt

第二步：下面要?jiǎng)?chuàng)建服務(wù)器證書(shū)簽署請(qǐng)求，

#openssl genrsa -des3 -out server.key 1024

(同上windows 下使用openssl genrsa -out server.key 1024)

這里也要設(shè)定pass phrase。

生成 server.key 文件，將文件屬性改為400。

#chmod 400 server.key

你可以用下列命令查看它的內(nèi)容，

#openssl rsa -noout -text -inserver.key

用 server.key 生成證書(shū)簽署請(qǐng)求 CSR.

#openssl req -new -key server.key -out server.csr

這里也要輸入一些信息，和CA 中的內(nèi)容類(lèi)似。

至于 'extra' attributes 不用輸入。

“Common Name: Chen Yang 你的姓名”這條信息請(qǐng)你輸入你的服務(wù)器的域名或者IP 地址

你可以查看 CSR 的細(xì)節(jié)

#openssl req -noout -text -in server.csr

第三步：下面可以簽署證書(shū)了

#openssl ca -config /etc/pki/tls/openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt

注意需要手動(dòng)創(chuàng)建一個(gè)CA 目錄結(jié)構(gòu)

└─ etc

└─ pki

└─CA

├─newcerts

├─index.txt

├─serial

在CA 中建立 index.txt 空文件, serial文件 , serial文件中可輸入01

否則運(yùn)行這個(gè)命令會(huì)出錯(cuò)：I am unable to access the ./CA/newcerts directory....

將文件屬性改為400，并放在安全的地方。

#chmod 400 server.crt

第四步：生成客戶(hù)端證書(shū)

生成客戶(hù)私鑰：

#openssl genrsa -des3 -out client.key 1024

生成客戶(hù)證書(shū)

#openssl req -new -key client.key -out client.csr

簽證：

##openssl ca -config /etc/pki/tls/openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in client.csr -out client.crt

轉(zhuǎn)換成pkcs12格式，為客戶(hù)端安裝所用

#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx