|
CA证书颁发机构的软件包:openssl 服务不需要配置和启动
主要的配置目录/etc/pki/CA 目录中应该有以下4个目录 certs crl newcerts private 准备 在/etc/pki/CA目录下创建两个文件 touch index.txt echo 01>serial
第一步 创建CA证书服务器的证书(公钥)和私钥 (umask 077; openssl genrsa -out private/cakey.pem 2048) 生成私钥
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem 生成CA证书
到此CA证书颁发机构配置完成
第二步 自签名 新建一个目录,用来放http的证书和私钥 mkdir /etc/httpd/ssl (这里我已经先装了http) 生成http的私钥 ,在/etc/httpd/ssl下操作 (umask 077; openssl genrsa -out http.key 2048)
生成http的证书 openssl req -new -key http.key -days 365 -out http.csr
本地CA自签名 openssl ca -in /etc/httpd/ssl/http.csr -out /etc/httpd/ssl/http.crt -days 365
签名途中会询问是否确定 按y确定 签名完成 此时可以查看/etc/pki/CA/index.txt 文件,里面会有签名客户端的详细信息, serial文件中的值自动+1
第三步 配置https网站 安装http服务和https的模块 包名:http mod_ssl https网站的配置文件/etc/httpd/con.d/ssl.conf 修改项: 启用· #DocumentRoot "/var/www/html" #ServerName www.test.com:443 修改 SSLCertificateFile /etc/httpd/ssl/http.crt 改为https服务端证书的路径,CA签过名的 SSLCertificateKeyFile /etc/httpd/ssl/http.key 改为https服务端私钥的路径
修改完成,重启服务即可 |
|
|
