CA證書頒發(fā)機構的軟件包：openssl

服務不需要配置和啟動

主要的配置目錄/etc/pki/CA

目錄中應該有以下4個目錄

certs  crl  newcerts  private 

準備  在/etc/pki/CA目錄下創(chuàng)建兩個文件

touch  index.txt

echo 01>serial

第一步  創(chuàng)建CA證書服務器的證書（公鑰）和私鑰

(umask 077; openssl genrsa -out private/cakey.pem 2048) 生成私鑰

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem  生成CA證書

到此CA證書頒發(fā)機構配置完成

第二步  自簽名

新建一個目錄，用來放http的證書和私鑰

 mkdir /etc/httpd/ssl  （這里我已經(jīng)先裝了http）

生成http的私鑰 ，在/etc/httpd/ssl下操作

(umask 077; openssl genrsa -out http.key 2048)

生成http的證書

openssl req -new  -key http.key -days 365 -out http.csr

本地CA自簽名

openssl ca -in /etc/httpd/ssl/http.csr -out /etc/httpd/ssl/http.crt -days 365

簽名途中會詢問是否確定 按y確定

簽名完成

此時可以查看/etc/pki/CA/index.txt 文件，里面會有簽名客戶端的詳細信息，

serial文件中的值自動+1

第三步  配置https網(wǎng)站

安裝http服務和https的模塊

包名：http mod_ssl

https網(wǎng)站的配置文件/etc/httpd/con.d/ssl.conf

修改項：

啟用·

#DocumentRoot "/var/www/html"

#ServerName www.test.com:443

修改

SSLCertificateFile /etc/httpd/ssl/http.crt   改為https服務端證書的路徑，CA簽過名的

SSLCertificateKeyFile /etc/httpd/ssl/http.key  改為https服務端私鑰的路徑

修改完成，重啟服務即可