第二步创建CA自签署证书
1、 为CA生成私钥密钥
切换shell工作目录到CA的工作目录
cd /etc/pki/CA
执行如下命令:
(umask 077; openssl genrsa -out private/cakey.pem 2048)
命令加括号表示命令在子shell中执行,设定子shell的umask为077,子shell生成的文件将是600的权限,-put指定输出文件位置,2048为密钥长度。
2、创建所需目录和文件
mkdir certs newcerts crl #创建所需目录 touch index.txt #创建证书检索文件 echo 01 > serial #创建证书序列号文件并赋初值
3、 创建自签署证书
openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 3650 # req -x509 -new表示创建自签证书,-key指定CA的私钥,--out指定输出文件,-days 3650指定证书有效期
openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 3650
# req -x509 -new表示创建自签证书,-key指定CA的私钥,--out指定输出文件,-days 3650指定证书有效期
至此CA创建完成。