为了便于测试,CA服务器和WEB服务器的安装配置在一台服务器进行,客户端用windows
1.CA服务器创建私有CA请收并颁发
cd /etc/pki/CA/
umask 077;openssl genrsa -out private/cakey.pem 4096 #genrsa 使用rsa算法生成密钥,4096 生
成一个4096位的密钥
2.自签证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 #req 生成证书签署请
求,-news 新请求,-509 专门用于生成自签署证书,-days 有效天数
3.初始化环境(只有第一次创建CA时,才需要做此步骤)
cd /etc/pki/CA/
touch index.txt
echo 00 > serial #指定序列号从那个数字开始
4.把cakey.pem 文件拷贝至windows客户端
5.Web节点申请证书,为私钥请求证书创建单独目录便于存放
mkdir -p /etc/httpd/conf.d/ssl
cd /etc/httpd/conf.d/ssl
umask 077;openssl genrsa -out httpd.key 4096
6.生成证书签署请求
cd /etc/httpd/conf.d/ssl
更多参考
shell综合练习
openssl req -new -key httpd.key -out httpd.csr
7.将签署的请求文件发送给CA服务器
cp httpd.csr /etc/pki/CA/
8.CA签署证书
openssl ca -in httpd.csr -out httpd.crt -days 365
9.将签署好的证书发回给Web Server申请者
cp certs/httpd.crt /etc/httpd/conf.d/ssl/
cp cacert.pem /etc/httpd/conf.d/ssl/
10.Web节点配置httpd 支持使用ssl,及使用证书
yum install httpd mod_ssl -y
vi /etc/httpd/conf.d/ssl.conf #修改ssl支持
SSLCertificateFile /etc/httpd/conf.d/ssl/httpd.crt #105行 修改为证书保存路径
SSLCertificateKeyFile /etc/httpd/conf.d/ssl/httpd.key #112行 修改为私有密钥保存路径
SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem #127行 修改CA证书保存路径
DocumentRoot "/var/www/html"
ServerName liu.cn:443
<Directory "/var/www/html">
AllowOverride All
Options None
require all granted
</Directory>
systemctl restart httpd
11.客户端测试
netstat -ntpl
注意前后的证书要一至
把第4步的文件双击进行安装