第一个:我们要创建的CA所在的国家,两个字符
第二个:我们要创建的CA所在的省份
第三个:我们要创建的CA所在的城市
第四个:我们要创建的CA的公司名称
第五个:CA申请者所在的部门
第六个:我们要创建的CA服务器
第七个:我们要创建的CA的邮箱
mkdir certs crl newcerts
certs 为所签证书的目录
crl为 所吊销的证书的目录
newcerts 要签的新证书的目录
touch index.txt serial crlnumber
echo 01 > serial
echo 01 > crlnumber
通过这几个步骤,我们创建了CA必须的几个文件,至此我们的CA服务器就建好了
我们可以在我们请求发证的主机上,申请证书了:
(umask 077; openssl genrsa 1024 > httpd.key)
生成自己的私钥,私钥长度为1024位
openssl req -new -key httpd.key -out httpd.csr
然后从私钥中提取公钥,并生成一个向CA发送的请求文件httpd.csr
第一个:我们要申请的CA所在的国家
第二个:我们要申请的CA所在的省份
第三个: 我们要申请的CA所在的城市
第四个:我们要申请的CA的公司名称
第五个:申请者所在的部门
第六个:申请者要为哪台主机申请证书
第七个:申请者的email
第八个:对这个请求加密,当CA签证的时候要输入密码
第九个:说明申请者是哪个公司的
我们把httpd.csr发送到CA的服务上,然后在的CA服务器上签署,命令为:
openssl ca -in htttpd.csr -out httpd.crt (默认一年)
CA签署这个证书
至此,httpd.crt就是我们的证书了,我们就可以使用了。
注:要了证书httpd.crt和私钥httpd.key,那么我们就可以用他们建立安全的通信连接了