1、建立CA认证

#修改openssl.cnf文件

vi /etc/pki/tls/openssl.cnf

#修改[ CA_default ]下的dir = 设置为

dir = /etc/pki/CA

#转到CA目录

cd /etc/pki/CA

#生成私钥文件

mkdir private
openssl genrsa -out private/cakey.pem 1024

#设置400权限

chmod 400 private/cakey.pem

#基于这个私钥自行签署证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

注意：证书只有放在/etc/pki/CA下才可以用

#创建需要使用的目录和文件

mkdir certs newcerts crl
touch index.txt serial
echo 01 > serial

#这些目录与文件的作用

certs 存放证书的位置
crl 存放证书调销列表
index.txt 存放都发给谁证书了，发了第几个了
newcerts 存放生成的新证书
serial 内部管理序列号，默认从00或01开始
这些文件的名字任意，但要与/etc/pki/tls/openssl.cnf中的配置保持一致

#将根证书转换成浏览器支持的.p12（PKCS12）格式

openssl pkcs12 -export -clcerts -in cacert.pem -inkey private/cakey.pem -out private/ca.p12
#生成后导入浏览器中受信任的证书颁发机构后重启浏览器，否则颁发的证书会提示证书不受信任。

完成以上设置后，现在就可以颁发证书了。

2、客户端申请证书

#建立存放私钥的目录

mkdir /etc/ssl
cd /etc/ssl

#生成私钥

openssl genrsa -out host.key 1024
chmod 600 host.key

#生成申请

openssl req -new -key host.key -out host.csr

#在CA主机上签署证书

openssl ca -in host.csr -out host.crt
#一路Yes即可

至此设置全部完成，如果使用Nginx或lnmp/lnmpa一键包，可以参照CentOS Lnmp/Lnmpa 使用SSL安全协议第3部分进行配置。

3、吊销证书

#吊销证书命令

openssl ca -revoke xxx.pem

#生成吊销证书列表

openssl ca -gencrl -out  xxx.crl