1,生成公私鑰
(umask 077; openssl genrsa -out app.key -des3 1024) openssl rsa -in app.key -pubout -out app.pubkey
2,創建根CA
#生成證書索引數據庫文件 touch /etc/pki/CA/index.txt #指定第一個頒發證書的序列號 echo 01 > /etc/pki/CA/serial #生成CA私鑰 (umask 066; openssl genrsa -out private/cakey.pem 2048)
3,自簽名證書
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
4,為需要主機生成私鑰
(umask 066; openssl genrsa -out /data/test.key 2048)
5,創建證書申請文件
openssl req -new -key /data/test.key -out /data/test.csr
6,CA簽署證書並頒發
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
證書吊銷
#獲取serial: openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject #吊銷: openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem #指定吊銷編號(第一次更新前執行) echo 01 > /etc/pki/CA/crlnumber #更新吊銷列表: openssl ca -gencrl -out /etc/pki/CA/crl.pem