Prepare o ambiente de certificado autoassinado:
No host de operação e manutenção gcbj1-200:
Usamos cfssl para demonstrar e o openssl será usado mais tarde;
[root @ gcbj1-200 ~] # cd / usr / local / src / # Baixe os três pacotes cfssl, cfssljson, cfssl-certinfo no diretório / usr / local / src: [root @ gcbj1-200 ~] # wget https : //pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root @ gcbj1-200 ~] # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 [root @ gcbj1-200 ~] ] # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 [root @ gcbj1-200 src] # mv cfssl_linux-amd64 / usr / bin / cfssl [root @ gcbj1-200 src] # mv cfssljson_linux-amd64 / usr / bin / cfssljson [root @ gcbj1-200 src] # mv cfssl-certinfo_linux-amd64 / usr / bin / cfssl-certinfo # Grant autoridade de execução: [root @ gcbj1-200 src] # chmod + x / usr / bin / cfssl * [root @ gcbj1-200 src] # ll / usr / bin / cfssl * -rwxr-xr-x 1 root root 10376657 4 de janeiro 11:09 / usr / bin / cfssl -rwxr-xr-x 1 root root 6595195 1 月 4 11:09 / usr / bin / cfssl-certinfo -rwxr-xr-x 1 root root 2277873 1 月 4 11:09 / usr / bin / cfssljson
Emissão de certificado raiz: Crie um arquivo de configuração JSON que gera uma solicitação de assinatura de certificado CA (csr);
[root @ gcbj1-200 ~] # mkdir -pv / opt / certs mkdir: Criado o diretório "/ opt / certs" [root @ gcbj1-200 ~] # cd / opt / certs / [root @ gcbj1-200 certs] # vim ca-csr.json { "CN": "90data.net", # Nome da organização, o navegador usa este campo para verificar se o site é legal, geralmente o nome de domínio está escrito, o que é muito importante. O navegador usa isso campo para verificar o site É legal "hosts": [ ], "key": { "algo": "rsa", # Algorithm "size": 2048 # Length }, "names": [ { "C": " CN ", # C, País " ST ":" beijing ", # Estado de ST, Província " L ":" pequim ",# L cidade da área "O": "ljz", # O nome da organização, nome da empresa "OU": "ops" # nome da unidade organizacional da OU, departamento da empresa } ], "ca": { "expiry": "175200h" # expiry expiry time, qualquer certificado tem um prazo de validade. 20 anos } }
Emissão de um certificado de portador:
[root @ gcbj1-200 certs] # cfssl gencert -initca ca-csr.json | cfssljson -bare ca [root @ gcbj1-200 certs] # ll uso total 16 -rw-r - r-- 1 root root 997 1 Mês 4 14:36 ca.csr -rw-r - r-- 1 root root 334 4 de janeiro 14:35 ca-csr.json -rw ------- 1 root root 1679 janeiro 4 14: 36 ca-key.pem -rw-r - r-- 1 root root 1350 4 de janeiro 14:36 ca.pem