創建私有CA：

openssl的配置文件：/etc/pki/tls/openssl.cnf

1.創建所需要的文件

#touch index.txt

#echo 01 > serial

#

2.給CA發證 <CA自簽證書>

#(umask 077; openssl genrsa -out private/cakey.pem 2048)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

關於req後面的幾個常用選項：

-new: 生成新證書簽署請求;

-x509: 專用於CA生成自簽證書;

-key: 生成請求時用到的私鑰文件;

-days n: 證書的有效期限;

-out /PATH/TO/SOMECERTFILE : 證書的保存路徑;

3.發證

1.用到證書的主機生成證書請求;

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

2.把請求文件傳輸給CA;

3.CA簽署證書，並將證書發還給請求者;

#openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

查看證書中的信息

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial

4.吊銷證書

1.客戶端獲取要吊銷的證書的序列號serial

openssl x509 -in /path/from/cert_file -noout -subject

2.CA端

吊銷證書

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

3.生成吊銷證書編號(第一次吊銷一個證書)

echo 01 > /etc/pki/CA/crlnumber

4.更新證書吊銷列表

openssl ca -gencrl -out thisca.crl

查看crl文件：

openssl crl -in /path/from/crl_file.crl -noout -text

openssl 創建私有CA