使用CA自签名证书搭建HTTPS网站

在自己倒腾https网站的时候用自定义的CA给自己的网站做自签名的问题一直困扰了我好久，下面是我自己测试成功的案例，网上有很多类似的问题，在这里储备一份供自己和他人参考使用。

1. 安装linux，apache，openssl组件，在此不做赘述，我用的就是centos里自带的apache和openssl。

2. 生成自签名的CA证书

(1) 生成CA私钥

[root@localhost ~]# openssl genrsa -out ca.key 2048# 在当前目录下生成ca.key文件，这个文件是下一步生成CA证书的私钥。

(2) 生成CA自签名证书

[root@localhost ~]# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf # 在当前目录下生成ca.crt这个文件，这个就是CA证书了，其他服务器和客户端的证书都是用ca.crt这个文件签发的。

3. 生成服务器证书

(1) 生成服务器端的私钥

[root@localhost ~]# openssl genrsa -out server.key 2048 # 在当前目录下生成server.key文件，这个文件是服务器段的私钥。

(2) 生成服务器端的签署申请

[root@localhost ~]# openssl req -new -out server.csr -key server.key -config /etc/pki/tls/openssl.cnf # 在当前目录下生成server证书的签署申请，后面用CA给服务器签署证书的时候需要用到这个申请文件。# 生成签署申请的过程中需要填写一些信息，按提示要求填写即可# 但需要说明的是Common Name必须和ssl.conf里面的ServerName一致# 否则客户端访问的时候会提示证书信息不能认证。

(3) 使用CA证书给服务器端签署服务器证书

进入/etc/pki/CA目录下，在里面创建一个index.txt空文件，以及一个名为serial，内容为01的文件

[root@localhost ~]# touch /etc/pki/CA/index.txt[root@localhost ~]# touch /etc/pki/CA/serial[root@localhost ~]# echo "01" >> /etc/pki/CA/serial

执行签署证书命令

[root@localhost ~]# openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf# 这个server.crt就是由CA签发的服务器证书。 

4. 配置ssl.conf

将我们生成的server.crt，server.key，ca.crt三个文件复制到/usr/local/apache2/conf/ssl.crt目录下
编辑ssl.conf文件，修改SSLCertificateFile，SSLCertificateKeyFile，SSLCACertificatePath，SSLCACertificateFile几个配置项如下：

SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/liveupdate_server.crt"SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.crt/server.key"SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt"SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca.crt"

重启apache服务

# 如果是用yum安装的apache服务[root@localhost ~]# service httpd restart # 如果是用源码安装的apache服务[root@localhost ~]# /usr/local/apache2/bin/apachectl -k restart

5. 在PC端导入CA证书到受信任的根证书颁发机构，即可实现https访问