1、创建私有CA并进行证书申请。

1、根据/etc/pki/tls/openssl.cnf文件在CA服务器上创建openssl的相关文件夹和文件
cd /etc/pki/CA
mkdir /etc/pki/CA/{certs,newcerts,private,crl}
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
2、在CA服务器上创建一个私钥
openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
3、利用创建的私钥生成自签名证书，作为根CA证书
openssl req -new -x509 -key /etc/pki/CA/cakey.pem -days 3650 -out /etc/pki/CA/cacerts.pem
国家：CN,省份:fujian,市:fuzhou,组织:unitech,部门:it,域名:ut.ca.org
4、在CA服务器上再创建一个私钥，作为申请者机器的私钥，用于生成证书申请
openssl genrsa -out /tmp/app1/app1.key 2048
5、利用申请者私钥生成证书申请（注意根据CA策略国省组织三项要保持一致）
openssl req -new -key /tmp/app1/app1.key  -out /tmp/app1/app1.csr
国家:CN,省份:fujian,市:fuzhou,组织:unitech,部门:devops,域名:ut.app1.org
6、对证书申请进行签发
openssl ca -in /tmp/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 200

2、总结ssh常用参数、用法

ssh [user@]host [CMD]     以user用户名远程登录host主机，若无user@则以当前用户名登录远程。后面可以接CMD命令，表示直接在远程主机上执行命令
选项：
-p  远程服务器sshd服务监听端口，默认是22端口，sshd服务端口可以在/etc/sshd/sshd_config文件里修改
-b  指定当前主机的哪个ip去连接远程主机
-X  支持x11转发，可以跨网络显示界面
-t  强制伪tty分配，一般用于不支持直接跳的两台机器，需要先跳到其他机子，再跳回来，-t就可以一条命令执行，但还是需要输每台机子的密码，如：ssh -t host1 -t host2 -t host3。
-o  后面可跟配置，用于修改配置文件中的相关配置，如：-o StrictHostKeyChecking=no
-i 指定私钥文件路径，用于key验证，默认是~/.ssh/id_rsa、~/.ssh/id_ecdsa等
-C 指定压缩方式，节省带宽
-L 本地端口转发，ssh -L localport:remotehost:remotehostport sshserver(在外网ssh_client机子上执行)
-R 远程端口转发，ssh -L localport:remotehost:remotehostport sshserver（在内网ssh_client上执行）
-D 动态端口转发，ssh -D localport proxyhost（在本机上执行，之后访问本机的localport会将请求发送至proxyhost）
-f 配合-L/-R/-D后台启用本地端口转发
-N 配合-L/-R/-D表示本地端口转发时不远程连接shell上
-g 配合-L/-R/-D表示本地端口转发时启用网关功能，不再仅限于127.0.0.1的端口转发，要修改~/ssh/sshd_config的gatewayport配置为yes，启用网关功能。

3、总结sshd服务常用参数

sshd服务端的配置文件：/etc/ssh/sshd_config
常用的参数如下：
Port :服务端端口，默认是22
ListenAddress ip :针对服务器有多个ip，通过此配置ip来指定使用哪个ip提供服务
LoginGraceTime 3m :通过ssh连接服务器后，3min后部署密码的连接就会断开
PermitRootLogin yes：允许以root用户远程ssh登录
StrictMode yes :检查.ssh/文件的所有者和权限等
MaxAuthTries n :最大允许n/2次错误连接，超过了就不允许连接了
MaxSessions n:同一个ssh连接的最大会话数。
PermitEmptyPasswd no :禁止空密码登录
PasswdAuthentication yes :基于用户名密码连接
GatewayPorts yes:提供网关功能，其他网络主机也能通过sshd服务端口转发，no表示只能本机回环地址转发
ClientAliveInterval 10:每隔10秒服务会去检测一下客户端的连接使用情况
ClientAliveCountMax 3: 最多检测3次，3次客户端没使用则会自动退出
UseDNS yes:配成no，可缓解登录缓慢的问题
GSSAPIAuthentication yes :配成no，可缓解登录缓慢的问题 
MaxStartups:允许未认证的最大连接数，超过次数就禁止连接，默认是10
Banner /path/file :在身份验证前，将file内容在远程主机前进行展示，默认不展示任何内容
AllowUsers user1 user2:允许远程登录用户
AllowGroups G1 G2:允许远程登录用户组
DenyUsers user1 user2:禁止远程登录用户
DenyGroups G1 G2:禁止远程登录用户组