rhel下的CA自簽名與https的搭建
CA證書頒發機構的軟體包:openssl
服務不需要配置和啟動
主要的配置目錄/etc/pki/CA
目錄中應該有以下4個目錄
certs crl newcerts private
準備 在/etc/pki/CA目錄下創建兩個檔案
touch index.txt
echo 01>serial
第一步 創建CA證書服務器的證書(公鑰)和私鑰
(umask 077; openssl genrsa -out private/cakey.pem 2048) 生成私鑰
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem 生成CA證書
到此CA證書頒發機構配置完成
第二步 自簽名
新建一個目錄,用來放http的證書和私鑰
mkdir /etc/httpd/ssl (這里我已經先裝了http)
生成http的私鑰 ,在/etc/httpd/ssl下操作
(umask 077; openssl genrsa -out http.key 2048)
生成http的證書
openssl req -new -key http.key -days 365 -out http.csr
本地CA自簽名
openssl ca -in /etc/httpd/ssl/http.csr -out /etc/httpd/ssl/http.crt -days 365
簽名途中會詢問是否確定 按y確定
簽名完成
此時可以查看/etc/pki/CA/index.txt 檔案,里面會有簽名客戶端的詳細資訊,
serial檔案中的值自動+1
第三步 配置https網站
安裝http服務和https的模塊
包名:http mod_ssl
https網站的組態檔/etc/httpd/con.d/ssl.conf
修改項:
啟用·
#DocumentRoot "/var/www/html"
#ServerName www.test.com:443
修改
SSLCertificateFile /etc/httpd/ssl/http.crt 改為https服務端證書的路徑,CA簽過名的
SSLCertificateKeyFile /etc/httpd/ssl/http.key 改為https服務端私鑰的路徑
修改完成,重啟服務即可
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/207931.html
標籤:其他