[root@lyt tls]# cd /etc/pki/CA/ #切换到与CA服务器有关的目录
[root@lyt CA]# mkdir certs #建立与证书有关的目录
[root@lyt CA]# mkdir newcerts #与新证书有关的目录
[root@lyt CA]# mkdir crl #证书吊销列表
[root@lyt CA]# touch index.txt
[root@lyt CA]# touch serial
[root@lyt CA]# echo "01"> serial #给serial一个初始值
[root@lyt CA]# openssl genrsa 1024 > private/cakey.pem #使用非对称加密算法rsa,采用1024为算法,得到一个密钥存放在private/cakey.pem中
[root@lyt CA]# chmod 600 private/cakey.pem #私钥不允许别人查看,所以将cakey.pem文件的权限改为600,只有所属用户可以读写
[root@lyt CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650 #使用CA服务器自己的私钥cakey.pem产生一个证书cacert.pem
[root@lyt CA]# mkdir -pv /etc/vsftpd/certs #创建一个目录,存放于vsftp有关的证书,证书请求,密钥
[root@lyt CA]# cd /etc/vsftpd/certs/
[root@lyt certs]# openssl genrsa 1024 >vsftpd.key #非对称加密算法rsa,使用1024位,算出一个密钥vsftp.key
[root@lyt certs]# openssl req -new -key vsftpd.key -out vsftpd.csr #利用私钥vsftp.key产生一个证书请求文件vsftp.csr
[root@lyt certs]# openssl ca -in vsftpd.csr -out vsftpd.cert #利用证书请求文件的到一个证书vsftp.cert
[root@lyt certs]# chmod 600 * #将该目录下的文件权限全部改为600,即所属用户可读写
将申请得到的CA证书和vsftp关联起来:
[root@lyt certs]# chmod 600 *
[root@lyt certs]# vim /etc/vsftpd/vsftpd.conf
[root@lyt certs]# service vsftpd restart
