Linux OpenSSL基础配置：自签名证书与CA证书教程

本篇笔记详细介绍了在Linux环境下使用OpenSSL进行基本配置和操作的过程，特别针对Linux初学者设计，涵盖了证书环境的搭建、自签证书的生成、CA证书的颁发以及HTTPS证书的申请。以下内容将逐步展开： 1. **安装OpenSSL**： 首先，通过yum包管理器安装OpenSSL，命令为`yum install -y openssl`。这一步骤确保了系统上已具备必要的工具。 2. **服务配置文件**： OpenSSL的相关配置文件位于`/etc/pki/tls/openssl.cnf`，这个文件对证书的生成和管理起着核心作用。配置文件定义了私钥、证书存储位置等关键设置。 3. **搭建自签证书环境**： - **文件结构**：在`/etc/pki/CA`目录下，需要创建四个文件夹：certs、crl、newcerts和private。`serial`用于存储证书序列号，初始值为01，会随证书颁发自动增加。 - **生成私钥**：使用`openssl genrsa -out /etc/pki/CA/private/cakey.pem`命令生成2048位的私钥，同时设置权限为077（700），仅允许root用户访问以增强安全性。 - **配置文件设置**：在`CA_default`组中，`private_key`字段应指向私钥的实际路径，即`/etc/pki/CA/private/cakey.pem`。 4. **自签证书的创建**： 通过`openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem`命令创建自签名证书。参数说明如下： - `req` 表示请求证书。 - `-new` 创建新的证书请求。 - `-x509` 指定为自签名证书。 - `-key` 使用之前生成的私钥。 - `-days` 设置证书的有效期为3650天。 - `-out` 指定输出证书文件的位置，这里是`cacert.pem`。 5. **申请内容**： 在创建自签证书时，需要填写一些基本信息，如国家名称（例如CN代表中国）和州或省份名称等。这些信息将构成证书的主体部分。 本文档对于Linux新手来说是一份实用指南，通过清晰的步骤和简记，帮助用户理解和操作OpenSSL来管理证书，无论是个人开发还是小规模项目，都能找到所需的基础知识。通过这些步骤，用户可以建立起自己的证书管理系统，并为HTTPS网站配置加密。