分类: LINUX
2010-11-19 22:01:54
1.配置CA主配置文件
#vim /etc/pki/tls/openssl.cnf
[CA_default]
dir = /etc/pki/CA CA所有信息的存放路径
certs 存放公钥
crl-dir 证书吊销列表
datebase 颁发证书的信息
new_certs_dir 存放证书副本
certificate = $dir/my-ca.crt 存放CA公钥
serial = $dir/serial 每签一个证书加1
Crlnumber 每吊销一个证书加1
Crl = $dir/my-ca.crl 黑名单列表
Private_key = $dir/private/my-ca.key CA中心的私钥
Default_days = 365 证书有效期
[pclicy_match]
CountryName = match (证书请求需要与CA公钥相同)
= optional (不必相同)
= supplied (每个人必须不一样)
Countryname_default = CN (国家代码)
Stateorprovincename_default = HENAN (省份)
Localityname_default=NANYANG(城市)
O.organizationname=example (组织,机构)
2.生成CA所需目录
#cd /etc/pki/CA
#mkdir {certs,crl,newcerts}
#touch index.txt
#echo 00>serial
3.生成CA私钥
#(umask 077;openssl genrsa -out private/my-ca.key -des3(算法) 2048)
私钥密码:rehdat redhat
4.生成CA公钥
#openssl req -new -x509 -key private/my-ca.key -days 365 > my-ca.crt
(注意hostsname行 写自己的主机名)
5.客户端配置
做私钥 #openssl genrsa 1024 > dovecot.key
证书请求 #openssl req -new -key dovecot.key -out dovecot.csr
将证书请求发给服务器授权
#scp dovecot.csr
对证书请求授权
#openssl ca -in dovecot.csr -out dovecot.crt
