首页 > 其他分享> > 自建CA服务器

自建CA服务器

2022-03-30 13:00:45 作者：互联网

参考文档：

https://www.cnblogs.com/yanshicheng/p/13424198.html

http://www.yunweipai.com/4513.html

https://www.linuxidc.com/Linux/2017-10/147349.htm

思路

搭建CA服务分为2个阶段。

1，准备CA证书，包括CA根证书（信任证书），CA的私钥

2，使用CA证书颁发证书

1，生成私钥

#三条命令都是生成私钥的，可对比查看
genrsa -aes128 -passout pass:Yunweipai@123 -out web_key.pem

root@localhost ~]#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048 )

[root@djcy-200 CA]# (umask 066; openssl genrsa -out private/cakey.pem -des3 2048)

2.创建申请者的证书颁发请求

这一步在申请的机器上操作，如果是CA服务器自己给自己颁发则就再CA服务器上执行也可以。

openssl req -new -key    web_key.pem -passin pass:Yunweipai@123 -config /home/yunweipai/openssl_ca/openssl.conf -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=UProject/OU=Yunweipai/CN=www.yunweipai.com" -batch -out   web_csr.pem

 
 [root@localhost ~]#openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem
 
 [root@djcy-200 CA]# openssl req -new -x509 -key private/cakey.pem -days 18250 -out /etc/pki/CA/cacert.pem

openssl req -new -key    web_key.pem -passin pass:Yunweipai@123 -config /home/yunweipai/openssl_ca/openssl.conf -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=UProject/OU=Yunweipai/CN=www.yunweipai.com" -batch -out   web_csr.pem

 
 [root@localhost ~]#openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem
 
 [root@djcy-200 CA]# openssl req -new -x509 -key private/cakey.pem -days 18250 -out /etc/pki/CA/cacert.pem

3.申请颁发证书

openssl ca -days 365 -config openssl.conf -keyfile ca_key.pem -key Yunweipai@123 -cert ca_cert.cer -in /home/yunweipai/user_certs/web_csr.pem -out web.cer

4.证书终于颁发完了，通过这个命令，可以验证web.cer是由ca_cert.cer颁发的：

openssl verify -CAfile   ca_cert.cer web.cer 
web.cer: OK

标签：web,自建,CA,openssl,pem,key,服务器,out
来源： https://www.cnblogs.com/fengfengyang/p/16076493.html