LINUX OPENSSL证书签发

来源：用户分享时间：2025/7/24 21:07:30 本文由

loading 分享下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:xxxxxxx或QQ：xxxxxx 处理（尽可能给您提供完整文档），感谢您的支持与谅解。

LINUX OPENSSL证书签发

1. 安装OPENSSL并确认openssl.cnf文件位置

1. $ yum install openssl 2. $ rpm -qa | grep openssl 3. $ rpm -ql openssl-*

2. 相关目录设定，用于存储证书, 临时性文件与私钥

1. $ mkdir /etc/ssl

2. $ mkdir /etc/ssl/private 3. $ chmod 700 /etc/ssl/private 4. $ mkdir /etc/ssl/crl 5. $ mkdir /etc/ssl/newcrt

3. SSL初始化配置，将默认配置文件转移到新的位置，进行修改，并导出OPENSSL所需环境变量

1. $ cp /usr/share/ssl/openssl.cnf /etc/ssl

2. $ ln -s /etc/ssl/openssl.cnf /usr/share/ssl/openssl.cnf

3. $ echo 'export OPENSSL_CONF=\ >> ~/.bashrc 4. $ vi /etc/ssl/openssl.cnf

; 修改\

4. 生成随机数

1. $ openssl rand -out /etc/ssl/private/.rand 1024 2. $ chmod 700 /etc/ssl/private/.rand

5. 生成RSA,CA私钥，CA私钥用于提供签发CA根证书，CA根证书需要提供给他人下载，使其可以使用此证书对其它证书，如WEB证书进行认证

1. $ openssl genrsa -des3 -out /etc/ssl/private/CA.key 2048 2. $ chmod 700 /etc/ssl/private/CA.key 2048

6. 填写CA证书申请文件（CSR）

1. $ openssl req -new -key /etc/ssl/private/CA.key -out /tmp/CA.rc

之后会弹出一些信息，按照提示进行输入即可，完成后会生成一个证书请求文件，这一步骤就相当于你在专业认证机构网页上输入你的相关信息，然后服务器会提供你一个（CSR）文件，之后你可以使用该文件签发证书，该文件只是一个中间文件，包含了你生成证书的相关内容 7. 签发CA，由于是根证书，所以没有上级证书，自己给自己签发

1. $ openssl x509 \\ 2. -req -days 7310 \\

3. -sha1 -extfile /etc/ssl/openssl.conf \\ 4. -extensions v3_ca \\

5. -signkey /etc/ssl/private/CA.key \\ 6. -in /tmp/CA.rc \\

7. -out /etc/ssl/certs/CA.crt

解释

; 过期时间20年

; 配置文件/etc/ssl/openssl.conf ; 格式为v3_ca证书

; 签名密钥/etc/ssl/private/CA.key ; 证书申请文件/tmp/CA.rc ; CA证书/etc/ssl/certs/CA.crt

8. 签发WEB证书 ; 签发WEB证书私钥

1. $ openssl genrsa -out /etc/ssl/private/www.key 2048 2. $ chmod 700 /etc/ssl/private/www.key

; 填写证书申请文件（CSR） ; 注意\为FQDN

; 附加挑战密码不要输入，否则每次启动服务器都要输入此密码

1. $ openssl req \\

2. -new -key /etc/ssl/private/www.key \\ 3. -out /tmp/www.rc

; 签发WEB证书

1. $ openssl x509 \\

2. -req -days 3650 -sha1 \\

3. -extfile /etc/ssl/openssl.cnf \\ 4. -extensions v3_req \\

5. -CA /etc/ssl/certs/CA.crt \\ 6. -CAkey /etc/ssl/private/CA.key \\

7. -CAserial /etc/ssl/ca.srl -CAcreateserial \\ 8. -in /tmp/www.rc \\

9. -out /etc/ssl/certs/www.crt

解释

; 动作: 请求证书，过期时间10年，摘要算法为SHA1 ; 配置文件/etc/ssl/openssl.cnf

; 使用CA根证书/etc/ssl/certs/CA.crt进行签名 ; CA私钥文件为: CA.key

; 创建并使用CA序列号文件ca.srl

; 证书请求文件为www.rc证书输出为www.crt --------------- * 小技巧 ---------------

; BASE-64编码文件以及还原被BASE64编码的文件，一般情况下，在对SMTP服务器进行调测时可能会用到这些内容

1. $ openssl base64 < filename.bin > filename_base64.txt 2. $ openssl base64 -d < filename_base64.txt > filename.bin 3. $ echo -n \ | openssl base64

; 计算文件SHA1散列，一般可以用来验证下载的文件是否是正确的文件

1. $ openssl sha1 filename.bin

搜索更多关于： LINUX OPENSSL证书签发的文档

LINUX OPENSSL证书签发.doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印

下载这篇word文档

本文链接：https://www.diyifanwen.net/c42d6l9brlh9jajr89men_1.html（转载请注明文章来源）