私有CA服务器的搭建

首先在根CA进行签署自证证书，然后子CA向根CA申请证书，根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者，相对于web服务器申请者是签署者，所以子CA是两个身份，既是申请者又是签署者。三者之间的关系一定要搞清楚，否则在搭建的时候容易出现混乱。

配置文件 /etc/pki/tls/openssl.cnf 省略了一部分配置文件只保留了有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件，此配置文件对于证书申请者是无作用的。

我在搭建CA服务器时就是因为对目录结构不清晰，导致搭建失败。所以在搭建之前要把最重要两个目录结构搞清楚。

/etc/pki/CA/cacert.pem就是生成的自签名证书文件，使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构。

再次将证书传到windows电脑中，双击查看此证书，可以看到是ca.aubin.red颁发给subca.centos9.top的证书。显示此证书是正常的可用的前提是要将之前的证书安装好可信的根证书路径。

同时也将子CA的证书安装到电脑中后，子CA就可以给其他申请者签署证书了。

1、首先打开服务器管理器点击进行添加角色和功能。

2、其次一路回车到选择服务器角色选择ActiveDirectory证书服务并继续。

3、最后就可以进行ca服务器的搭建了。

---