CA数字证书
CA,Certificate Authority
数字证书授权中心
-被通信双方信任的,独立的第三方机构
-负责证书颁发,验证,撤销等管理
部署CA服务器
自定义机构名称与CA服务器主机名
机构名称:xiaoren
CA服务器主机名 www.xiaoren.cn
第一步:部署CA证书签署环境
# vim /etc/pki/tls/openssl.cnf //配置文件
42行 dir /etc/pki/CA/ //CA签署工作目录
43行 certs = $dir/certs //用户证书存放路径
45行 database = $dir/index.txt //存放发出的数字证书,默认不存在,需要创建
50行 certificate = $dir/my-ca.crt //CA根证书文件,可自定义一个易记的名字
51行 serial = $dir/serial //证书编号文件
55行 private_key = $dir/private/my-ca.key //CA私钥文件,可自定义一个易记的名字
130行 countryName_default = CN //国家名称
135行 stateOrProvinceName_default = beijing //所在省
138行 localityName_default = beijing //城市
141行 0.organizationName_default = xiaoren //机构名称
148行 organizationalUnitName_default = ope //部门名称
根据配置文件的设置创建对应的文件,为了安全可以设置权限
# touch /etc/pki/CA/index.txt
# chmod 600 /etc/pki/CA/index.txt
# echo 01 > /etc/pki/CA/serial
# chmod 600 /etc/pki/CA/serial
第二步:创建私钥文件
# cd /etc/pki/CA/private/
# openssl genrsa -des3 2048 > my-ca.key //私钥名字与配置文件设置相匹配
.....
Enter pass phrase: //设置私钥口令密码
Verifying - Enter pass phrase: //重复输入
# cat my-ca.key
# chmod 600 my-ca.key
第三步:创建根证书文件
# cd /etc/pki/CA/
# openssl req -new -x509 -key ./private/my-ca.key -days 365 > my-ca.crt
-new新文件 -x509根证书格式 -key 调用文件 -days指定有效期
Common Name (eg, your name or your server's hostname) []:www.xiaoren.cn //主机名,与前面相匹配
Email Address []:xiao@163.com //邮箱地址,设置自己的
第四步:共享根证书给客户端,使用httpd服务共享
# mkdir /var/www/html/ca //在网站服务下建一个目录
# cp /etc/pki/CA/my-ca.crt /var/www/html/ca //将根证书文件拷贝到网页下
# chmod +r /var/www/html/ca/my-ca.crt
# systemctl restart httpd
客户端测试(下载根证书)
使用浏览器访问CA服务器