1:使用openssl命令生成一个私钥,私钥必须放在/etc/pki/CA/private/目录下
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
2:通过创建的私钥提取一个公钥,再通过公钥生成的公钥自签证书, CA的自签证书保留在/etc/pki/CA/目录下
# 说明:-new表示创建一个新的证书,-x509表示创建的是自签证书,专用于创建私有CA时,-key表示私钥的路径,虽然需要提供公钥,但是会自动从私钥中提取公钥,-out表示证书生成的路径,-days表示证书的有效天数。在输入命令后,中间需要填写证书的相关信息
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
自签证书的信息如下:
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shenzhen
Locality Name (eg, city) [Default City]:shenzhen
Organization Name (eg, company) [Default Company Ltd]:uplooking
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server‘s hostname) []:ca.uplooking.com
Email Address []:[email protected]uplooking.com
3:为私有CA提供所需的目录及文件,如果目录存在,则不需要创建
mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
# 创建serial文件,用于保存序列号 index.txt用于保存数据
touch /etc/pki/CA/{serial,index.txt}
echo 01 > /etc/pki/CA/serial 这里需要将自签证书注册一个序列号,以01开始编号