rhel下的CA自签名与https的搭建

rhel下的CA自签名与https的搭建

 

CA证书颁发机构的软件包：openssl

服务不需要配置和启动

 

主要的配置目录/etc/pki/CA

目录中应该有以下4个目录

certs  crl  newcerts  private 

准备  在/etc/pki/CA目录下创建两个文件

touch  index.txt

echo 01>serial

 

 

第一步  创建CA证书服务器的证书（公钥）和私钥

(umask 077; openssl genrsa -out private/cakey.pem 2048) 生成私钥

 

 

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem  生成CA证书

 

 

到此CA证书颁发机构配置完成

 

第二步  自签名

新建一个目录，用来放http的证书和私钥

 mkdir /etc/httpd/ssl  （这里我已经先装了http）

生成http的私钥 ，在/etc/httpd/ssl下操作

(umask 077; openssl genrsa -out http.key 2048)

 

 

 

生成http的证书

openssl req -new  -key http.key -days 365 -out http.csr

 

 

 

本地CA自签名

openssl ca -in /etc/httpd/ssl/http.csr -out /etc/httpd/ssl/http.crt -days 365

 

 

 

签名途中会询问是否确定 按y确定

签名完成

此时可以查看/etc/pki/CA/index.txt 文件，里面会有签名客户端的详细信息，

serial文件中的值自动+1

 

 

 

第三步  配置https网站

安装http服务和https的模块

包名：http mod_ssl

https网站的配置文件/etc/httpd/con.d/ssl.conf

修改项：

启用·

#DocumentRoot "/var/www/html"

#ServerName www.test.com:443

修改

SSLCertificateFile /etc/httpd/ssl/http.crt   改为https服务端证书的路径，CA签过名的

SSLCertificateKeyFile /etc/httpd/ssl/http.key  改为https服务端私钥的路径

 

修改完成，重启服务即可