第一種：系統(tǒng)提供快速建立的方法

1.進(jìn)入/etc/pki/tls/certs

cd? /etc/pki/tls/certs

2.生成自簽名證書

make ? 證書名.pem

比如：make vsftpd.pem

填寫自簽名證書圖

第二種方法：自己創(chuàng)建CA證書及自簽名

1、創(chuàng)建所需要的文件

touch? /etc/pki/CA/index.txt? ? 生成證書索引數(shù)據(jù)庫文件

echo 01 >/etc/pki/CA/serial? 指定第一個頒發(fā)證書的序列號

2、CA自簽證書

生成私鑰

cd /etc/pki/CA

(umask 066; openssl genrsa -out ?/etc/pki/CA/private/cakey.pem ?2048)

()表示開啟一個子進(jìn)程，進(jìn)程結(jié)束，變量取消，同時為保證私鑰安全把 存放私鑰文件的權(quán)限變小為600 ，可以umask 066

3、生成自簽名證書

openssl ?req ?-new ?-x509 ?-key ?/etc/pki/CA/private/cakey.pem ? -days ?7300 ?-out /etc/pki/CA/cacert.pem

-new: 生成新證書簽署請求

-x509: 專用于CA生成自簽證書

-key: 生成請求時用到的私鑰文件

-days n：證書的有效期限

-out /PATH/TO/SOMECERTFILE: 證書的保存路徑

填寫自簽名證書圖