搭建CA服务器

步骤一：配置openssl的文件：/etc/pki/tls/openssl.cnf，有三种策略：匹配、支持、可选。匹配指要求申请 填写的信息跟CA设置信息必须一致，支持指必

须填写这项申请信息，可选指可有可无。

步骤二：创建所需的文件，这文件是为了后续申请ca用的，在此先配置。

步骤三：生成私钥

步骤四：生成自签名证书 openssl req -new -x509 –key

/etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem

查看证书文件

步骤五：在需要的客户端申请私钥

步骤六：生成证书申请文件

步骤七：把证书请求文件传输给CA

scp /etc/pki/tls/service.src 192.168.100.200:

步骤八：CA签署证书，并将证书颁发给请求者。注意：默认国家，省，公司名称三项必须和CA 一致

步骤九：查看申请完成的证书

步骤一：生成自定义证书申请文件，并把文件发给CA。

步骤二：ca签署自定义申请证书

步骤三：要完成自定义申请证书，必须要修改配置文件：/etc/pki/tls/openssl.cnf

修改后

步骤四：重新签署自定义申请证书，此时，签署证书没有报错，输入两次yy，文件末尾显示Data Base Updated ，完成签署。

步骤五：查看新申请完成的证书

步骤六：当我们的证书丢失或者不想使用的时候，如何吊销证书呢？方法如下：openssl ca -revoke /etc/pki/CA/newcerts/02.pem

步骤七：指定一个吊销证书的编号，注意：第一次更新证书吊销列表前，才需要执行

echo 01 >/etc/pki/CA/crlnumber

步骤八：更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

步骤九：查看crl文件:openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

首先在根CA进行签署自证证书，然后子CA向根CA申请证书，根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者，相对于web服务器申请者是签署者，所以子CA是两个身份，既是申请者又是签署者。三者之间的关系一定要搞清楚，否则在搭建的时候容易出现混乱。

配置文件 /etc/pki/tls/openssl.cnf 省略了一部分配置文件只保留了有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件，此配置文件对于证书申请者是无作用的。

我在搭建CA服务器时就是因为对目录结构不清晰，导致搭建失败。所以在搭建之前要把最重要两个目录结构搞清楚。

/etc/pki/CA/cacert.pem就是生成的自签名证书文件，使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构。

再次将证书传到windows电脑中，双击查看此证书，可以看到是ca.aubin.red颁发给subca.centos9.top的证书。显示此证书是正常的可用的前提是要将之前的证书安装好可信的根证书路径。

同时也将子CA的证书安装到电脑中后，子CA就可以给其他申请者签署证书了。

---