プライベートCAを設立し、証明書申請を完了する

私有CA及び方法証明書の作成手順：

1、必要なファイルを作成する

touch /etc/pki/CA/index.txt         # 
echo 01 > /etc/pki/CA/serial       # 

2、CAは署名秘密鍵を生成する

cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)

3、CA自己署名証明書の生成

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

4、証明書申請が必要なホスト①で証明書申請の署名秘密鍵を生成する

(umask 066; openssl genrsa -out /data/test.key 2048)

②証明書申請書類の作成

openssl req -new -key /data/test.key -out /data/test.csr

5、証明書要求ファイルをCAに転送する
6、CAは証明書に署名し、証明書を要求者に発行する

openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100

(注:デフォルトでは国、省、社名の3つがCAと一致している必要があります)
証明書の情報を表示するには、次の手順に従います.

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL  

証明書の取り消し手順

1、クライアントで取り消す証明書を取得するserial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

2、CAでは、お客様から提出されたserialとsubjectの情報に基づいて、indexと比較検査する.txtファイルの情報が一致する
3、取り消し証明書:

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

4、最初の取り消し証明書の番号を指定します.注意:証明書の取り消しリストを初めて更新する前に、実行する必要があります.

echo 01 > /etc/pki/CA/crlnumber

5、証明書の取り消しリストを更新する

openssl ca -gencrl -out /etc/pki/CA/crl.pem

crlファイルを表示するには:

openssl crl -in /etc/pki/CA/crl.pem -noout -text