1,生成公私钥
(umask 077; openssl genrsa -out app.key -des3 1024)
openssl rsa -in app.key -pubout -out app.pubkey
2,创建根CA
#生成证书索引数据库文件 touch /etc/pki/CA/index.txt #指定第一个颁发证书的序列号 echo 01 > /etc/pki/CA/serial #生成CA私钥 (umask 066; openssl genrsa -out private/cakey.pem 2048)
3,自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
4,为需要主机生成私钥
(umask 066; openssl genrsa -out /data/test.key 2048)
5,创建证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
6,CA签署证书并颁发
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
证书吊销
#获取serial: openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject #吊销: openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem #指定吊销编号(第一次更新前执行) echo 01 > /etc/pki/CA/crlnumber #更新吊销列表: openssl ca -gencrl -out /etc/pki/CA/crl.pem