Centos 6.4 用openssl 簽發(fā)證書第一步：先建立一個 CA 的證書，首先為 CA 創(chuàng)建一個 RSA 私用密鑰，#cd /etc/pki/CA#openssl genrsa -des3 -

Centos 6.4 用openssl 簽發(fā)證書

第一步：先建立一個 CA 的證書，

首先為 CA 創(chuàng)建一個 RSA 私用密鑰，

#cd /etc/pki/CA

#openssl genrsa -des3 -out ca.key 1024

(由于windows 系統(tǒng)下的ssl_module不支持加密密鑰，使用openssl genrsa -out ca.key 1024)

系統(tǒng)提示輸入 PEM pass phrase，也就是密碼，輸入后牢記它。

生成 ca.key 文件，將文件屬性改為400。

#chmod 400 ca.key

你可以用下列命令查看它的內容，

#openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密鑰創(chuàng)建一個自簽署的 CA 證書（X.509結構）

#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然后需要輸入下列信息：

Country Name: CN //兩個字母的國家代號

State or Province Name: Guangdong //省份名稱

Locality Name: Guangzhou //城市名稱

Organization Name: //公司名稱

Organizational Unit Name: //部門名稱

Common Name: //你的姓名

Email Address: //Email地址

生成 ca.crt 文件，將文件屬性改為400。

#chmod 400 ca.crt

你可以用下列命令查看它的內容，

#openssl x509 -noout -text -in ca.crt

第二步：下面要創(chuàng)建服務器證書簽署請求，

#openssl genrsa -des3 -out server.key 1024

(同上windows 下使用openssl genrsa -out server.key 1024)

這里也要設定pass phrase。

生成 server.key 文件，將文件屬性改為400。

#chmod 400 server.key

你可以用下列命令查看它的內容，

#openssl rsa -noout -text -inserver.key

用 server.key 生成證書簽署請求 CSR.

#openssl req -new -key server.key -out server.csr

這里也要輸入一些信息，和CA 中的內容類似。

至于 'extra' attributes 不用輸入。

“Common Name: Chen Yang 你的姓名”這條信息請你輸入你的服務器的域名或者IP 地址

你可以查看 CSR 的細節(jié)

#openssl req -noout -text -in server.csr

第三步：下面可以簽署證書了

#openssl ca -config /etc/pki/tls/openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt

注意需要手動創(chuàng)建一個CA 目錄結構

└─ etc

└─ pki

└─CA

├─newcerts

├─index.txt

├─serial

在CA 中建立 index.txt 空文件, serial文件 , serial文件中可輸入01

否則運行這個命令會出錯：I am unable to access the ./CA/newcerts directory....

將文件屬性改為400，并放在安全的地方。

#chmod 400 server.crt

第四步：生成客戶端證書

生成客戶私鑰：

#openssl genrsa -des3 -out client.key 1024

生成客戶證書

#openssl req -new -key client.key -out client.csr

簽證：

##openssl ca -config /etc/pki/tls/openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in client.csr -out client.crt

轉換成pkcs12格式，為客戶端安裝所用

#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx