証明書を作成するためにOpenSSLを使用してください。OSはCentOS7を使用しています。
1. OpenSSLの設定ファイルを変更します。
vimの/etc/pki/tls/openssl.cnf
[のCA_default] DIR =の/ etc / PKI / CAすべてが保たれている# 本命を =の$ DIR / 発行本命が保たれている本命の# crl_dir = $ DIR / 発行されたCRLが保管されているCRLの# データベース = $ DIR /index.txt #データベースのインデックスファイル。 #unique_subject =に設定していない#「いいえ」の創出できるように、 同じテーマを持つ#いくつかのctificatesを。 new_certs_dir = $ DIR/#デフォルトの場所newcerts のための新しい本命は。 証明書 = $のDIR / my- ca.crt#CA証明書の シリアル = $のディレクトリ / シリアル#現在のシリアル番号 crlnumber = $ DIR / 現在のCRL番号crlnumberの# #はV1 CRLを残すためにコメントアウトしなければならない CRL = $ DIR / crl.pem#現在のCRL PRIVATE_KEY = $ DIR /プライベート/ my- ca.key#秘密鍵 RANDFILE = $ DIR /private/.rand#プライベート乱数ファイル x509_extensions = usr_cert#extentionsは、証明書に追加します
2.ファイルディレクトリを準備
CDの/ etc / PKI / CA のrm -rf * CDの/ etc / PKI / TLS / miscの 。/ CA -newca
Ctrl-Cを
シリアルファイルの作成
CDの/ etc / PKI / CAは
00>シリアルをエコー
3.ルート鍵生成
CDの/ etc / PKI / CAの
プライベート/私の-ca.keyアウトのopenssl genrsa
または
(077のumask;プライベート/ cakey.pemファイル-out opensslのgenrsa)
4.ルート証明書の生成
私-ca.crtアウトのopenssl reqが-new -key -x509プライベート/ MY-ca.key
5.ユーザー証明書のキーと証明書要求ファイルを作成します。
CD / ルート opensslのgenrsa - アウトnginx.key のopenssl reqを -new -key nginx.key -out nginx.csr
6. CAによって署名された証明書
openssl CA - で nginx.csr -out nginx.crt
このように、証明書が正常に作成されます。