为什么要申请证书，因为发送数据的一方不确定建立连接的另一方是不是假冒的，这个时候就只能通过一个权威的第三方，验证确认对方的身份。这个第三方就是CA，证书颁发机构，他的证书一般会在操作系统安装时就已经内置到系统中了。这里以网站为例，具体流程为网站方发送自己的证书申请文件给CA，包含自己的私钥和公钥，然后

创建私有CA

创建CA需要根据openssl的配置文件来指定存放的路径，这个文件为/etc/pki/tls/openssl.cnf，打开文件，这里只列出和创建CA有关的内容：

[ ca ]
default_ca      = CA_default            # 使用哪个默认的证书区域，意思就是使用下边这个CA_default默认为CA的配置

[ CA_default ]

dir             = /etc/pki/CA           # 根目录，就是下面的$dir
certs           = $dir/certs            # 证书位置
crl_dir         = $dir/crl              # 吊销证书的位置
database        = $dir/index.txt        # 库索引文件位置
#unique_subject = no                    
new_certs_dir   = $dir/newcerts         # 新证书文件位置，这个是创建证书后系统自动生成的，和创建的证书文件一样
certificate     = $dir/cacert.pem       # CA自签名证书存放位置
serial          = $dir/serial           # 下一个证书的序号，会自动生成一个old文件，放的之前那个证书的序号
crlnumber       = $dir/crlnumber        # 下一个吊销证书的序号
crl             = $dir/crl.pem          # 
private_key     = $dir/private/cakey.pem       #私钥文件存放位置 
...
policy          = policy_match      #指定的策略（就是选择下边两个策略中的哪一个，也可以自己写一份策略，然后这里用新写的策略名字）

# 这里match表示申请方和CA发放方内容必须匹配,而optional就表示可以不同
[ policy_match ]                                     #创建私有证书的默认配置模板
countryName             = match               #国家
stateOrProvinceName     = match        #省份
organizationName        = match           #公司机构
organizationalUnitName  = optional     #部门
commonName              = supplied       #用户名
emailAddress            = optional           #邮箱

[ policy_anything ]                            #创建公共证书的默认配置模板
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

步骤：

• 1.生成证书索引数据库文件
  [root@feng ~]# touch /etc/pki/CA/index.txt
• 2.生成证书序列号文件，指定第一个序号为01（这里序号必须为2位数，所以要写01）
  [root@feng ~]# echo 01 > /etc/pki/CA/serial
• 3.生成私钥,这里使用小括号，生成子进程，先写上umak，这样就可以将生成的文件权限设为600，创建完文件后子进程生命周期结束，不影响shell的umask。

[root@feng ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...+++
...................................+++
e is 65537 (0x10001)

• 4.创建自签名证书,输入如下命令

[root@feng ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

命令中的几个参数：

• -new: 生成新证书签署请求 
  

• -x509: 专用于CA生成自签证书
• -key: 生成请求时用到的私钥文件
• -days n：证书的有效期限
• -out /PATH/TO/SOMECERTFILE: 证书的保存路径

输入命令后就会进入交互式界面 ，注意配置文件中设置的match的选项,申请人的信息和CA的必须一样。

Country Name (2 letter code) [XX]:CN     #选择国家，只能写两个字符   
State or Province Name (full name) []:henan   #选择省
Locality Name (eg, city) [Default City]:zhengzhou    #城市
Organization Name (eg, company) [Default CompanyLtd]:magedu.com    #公司
Organizational Unit Name (eg, section) []:IT    #部门
Common Name (eg, your name or your server's hostname) []:magedu   #姓名或者服务名主机名等
Email Address []:123@123     #邮箱

申请证书

在服务端创建完成私有CA后，客户端就可以生成私钥并申请证书了(私钥放置的位置不是固定的，生成证书申请文件能找到路径就行)如下：

• 1.生成私钥

[root@localhost ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/test.key 2048)
Generating RSA private key, 2048bit long modulus
...............................+++
....................................................
+++e is 65537 (0x10001)

• 2.生成证书申请文件

[root@localhost ~]# openssl req -new -key /etc/pki/CA/private/test.key -out /etc/pki/tls/test.csr
#进入交互式界面，配置match的项必须和CA填写一致
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:magedu
Email Address []:123@123
A challenge password []:1234   #设置一个密码

• 3.将证书请求文件传给CA

[root@localhost ~]# scp /etc/pki/tls/test.csrroot@192.168.0.234:/tmp

CA签署证书

• 1.在CA服务端上根据客户端上传的证书请求文件，签署证书：

[root@feng ~]# openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365

两次确认后，生成成功，然后将签发的证书传给申请端，就可以使用了。