搭建私有CA服务器

湛蓝之海

导读CA（Certificate Authority）证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。一、建立CA服务器1、生成密钥

（）：表示此在子进程中运行，其目的是为了不改变当前中的umask值；
genrsa：生成私钥；
-out：私钥的存放路径，cakey.pem：为密钥名，与配置文件中保持一致；
2048：密钥长度，默认为1024。
2、自签证书

req：生成证书签署请求；
-x509：生成自签署证书；
-days n：证书的有效天数；
-new：新请求；
-key /path/to/keyfile：指定私钥文件；
-out /path/to/somefile：输出文件位置。
3、初始化工作环境

index.txt：索引文件，用于匹配证书编号；
serial：证书序列号文件，只在首次生成证书时赋值。
二、节点申请证书1、生成密钥对

2、生成证书请求修改默认信息，以简化输入，使用各节点信息一致。

3、把签署请求文件发送给CA服务器

三、签署证书1、在CA服务器上签署证书

2、发送给请求者

四、吊销证书（一）节点请求吊销1、获取证书serial

x509：证书格式；
-in：要吊销的证书；
-noout：不输出额外信息；
-serial：显示序列号；
-subject：显示subject信息。
（二） CA验证信息1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致

2、吊销证书

-revoke：删除证书。
查看被吊销的证书列表

3、生成吊销证书的编号（如果是第一次吊销）

4、更新证书吊销列表

-gencrl：生成证书吊销列表；
5、查看crl文件内容

-text：以文本形式显示。

原文来自：