数字证书就是互联网通讯中标志通讯各方身份信息，数字证书不是通信双方的身份证书，而是认证机构在数字证书上扣得一个章，确认你的身份证书有效，它是由权威的CA机构颁发用于表示互联网上通信双方的身份。个人搭建的自由CA服务器在互联网中是不被认可的，但是可以在自己的内部网络中使用。

一、架构图

首先在根CA进行签署自证证书，然后子CA向根CA申请证书，根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者，相对于web服务器申请者是签署者，所以子CA是两个身份，既是申请者又是签署者。三者之间的关系一定要搞清楚，否则在搭建的时候容易出现混乱。

CA认证链

二、配置文件

配置文件 /etc/pki/tls/openssl.cnf省略了一部分配置文件只保留了有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件，此配置文件对于证书申请者是无作用的。

####################################################################
[ ca ]
default_ca      = CA_default            # 默认的CA配置；CA_default指向下面配置块

####################################################################
[ CA_default ]

dir             = /etc/pki/CA           # CA的默认工作目录
certs           = $dir/certs            # 认证证书的目录
crl_dir         = $dir/crl              # 证书吊销列表的路径
database        = $dir/index.txt        # 数据库的索引文件


new_certs_dir   = $dir/newcerts         # 新颁发证书的默认路径

certificate     = $dir/cacert.pem       # 此服务认证证书，如果此服务器为根CA那么这里为自颁发证书
serial          = $dir/serial           # 下一个证书的证书编号
crlnumber       = $dir/crlnumber        # 下一个吊销的证书编号
                                        
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem# CA的私钥
RANDFILE        = $dir/private/.rand    # 随机数文件

x509_extensions = usr_cert              # The extentions to add to the cert

name_opt        = ca_default            # 命名方式，以ca_default定义为准
cert_opt        = ca_default            # 证书参数，以ca_default定义为准


default_days    = 365                   # 证书默认有效期
default_crl_days= 30                    # CRl的有效期
default_md      = sha256                # 加密算法
preserve        = no                    # keep passed DN ordering


policy          = policy_match          #policy_match策略生效

# For the CA policy
[ policy_match ]
countryName             = match         #国家；match表示申请者的申请信息必须与此一致
stateOrProvinceName     = match         #州、省
organizationName        = match         #组织名、公司名
organizationalUnitName  = optional      #部门名称；optional表示申请者可以的信息与此可以不一致
commonName              = supplied
emailAddress            = optional

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]                     #由于定义了policy_match策略生效，所以此策略暂未生效
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

三、目录结构图

我在搭建CA服务器时就是因为对目录结构不清晰，导致搭建失败。所以在搭建之前要把最重要两个目录结构搞清楚。

• 根CA服务器：因为只有CA服务器的角色，所以用到的目录只有/etc/pki/CA
• 子CA服务器：因为既充当证书签署者，又充当证书申请者的角色。所以两个目录都有用到。子CA服务器是最容易出错的地方。所以要时刻保持头脑清醒
• web服务器：只是证书申请者的角色，所以用到的目录只有/etc/pki/tls
  

四、步骤

1. 根CA生成自己的私钥，生成自签名证书
2. 子CA生成自己的私钥、证书申请文件，将证书申请文件发送给根CA请求根CA签署证书。(此时子CA的身份为申请者)
3. 子CA拿到根CA签署的证书文件，修改配置文件后，可以向其他申请者签署证书(此时子CA为签署者)
4. web服务器，生成自己的私钥、证书申请文件，将证书申请根文件发送给子CA请求子CA签署证书。

五、实例过程

1.根CA搭建

• 创建所需要的文件

touch /etc/pki/CA/index.txt        #生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial       #指定第一个颁发证书的序列号

• 在根CA服务器上创建密钥，密钥的位置必须为/etc/pki/CA/private/cakey.pem，这个是openssl.cnf中指定的路径，只要与配置文件中指定的匹配即可。

• 根CA自签名证书，根CA是最顶级的认证机构，没有人能够认证他，所以只能自己认证自己生成自签名证书。

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem -days 7300
#  -new: 生成新证书签署请求
#  -x509: 专用于CA生成自签证书
#  -key: 生成请求时用到的私钥文件
#  -days n：证书的有效期限
#  -out /PATH/TO/SOMECERTFILE: 证书的保存路径

/etc/pki/CA/cacert.pem就是生成的自签名证书文件，使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构。

2.子CA搭建

• 创建子CA的私钥

[root@subca.centos9.top]$(umask 066; openssl genrsa -out /etc/pki/tls/private/subca.centos9.top.key)
Generating RSA private key, 1024 bit long modulus
.++++++
.....................++++++
e is 65537 (0x10001)

• 子CA生成证书申请文件；

[root@subca.centos9.top]$openssl req -new -key /etc/pki/tls/private/subca.centos9.top.key -out /etc/pki/tls/subca.centos9.top.csr
#   -key /etc/pki/tls/private/subca.centos9.top.key  指定私钥的路径

• 将申请文件复制到根CA目录下，请求根CA签署证书

[root@subca.centos9.top]scp /etc/pki/tls/subca.centos9.top.csr 10.0.0.57:/etc/pki/CA/certs/
subca.centos9.top.csr                       100%  660     0.6KB/s   00:00  
#使用scp命令将文件复制到 10.0.0.57:/etc/pki/CA/certs/目录下

• 在根CA服务器下，签署子CA的证书。

[root@CA.aubin.red]$cd /etc/pki/CA/certs
[root@CA.aubin.red]$openssl ca -in subca.centos9.top.csr -out subca.centos9.top.crt -days 3650 
#   -in  指定传入的传入申请文件
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 119 (0x77)
        Validity
            Not Before: Sep 10 04:02:04 2017 GMT
            Not After : Sep  8 04:02:04 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = HeBei
            organizationName          = subca
            organizationalUnitName    = opt
            commonName                = subca.centos9.top
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                2B:81:EE:06:D7:12:45:5B:65:99:66:BE:52:DB:57:4B:39:ED:BF:02
            X509v3 Authority Key Identifier: 
                keyid:66:71:6E:40:3D:29:2C:70:5B:35:EB:69:4B:F8:BD:AB:92:21:1A:C2

Certificate is to be certified until Sep  8 04:02:04 2027 GMT (3650 days)
Sign the certificate? [y/n]:y

#核对信息后y确认

1 out of 1 certificate requests certified, commit? [y/n]y          #y确认后证书文件生成
Write out database with 1 new entries
Data Base Updated

• 将签署好的证书发回给子CA服务器,并改名为cacert.pem;
  /etc/pki/CA/cacert.pem 为子CA服务器中openssl.cnf配置文件中的certificate指定的路径。

[root@CA.aubin.red]$scp subca.centos9.top.crt 10.0.0.56:/etc/pki/CA/cacert.pem
root@10.0.0.56's password: 
/root/.bashrc: line 45: alias: /etc/sysconfig/network-scripts/ifcfg-ens33: not found
subca.centos9.top.crt                       100% 3704     3.6KB/s   00:00 

再次将证书传到windows电脑中，双击查看此证书，可以看到是ca.aubin.red颁发给subca.centos9.top的证书。显示此证书是正常的可用的前提是要将之前的证书安装好可信的根证书路径。

同时也将子CA的证书安装到电脑中后，子CA就可以给其他申请者签署证书了。

• 子CA要能给别人签署证书，那么还要生成自己的CA私钥存放在/etc/pki/CAprivate/cakey.pem,这个文件路径也是在openssl.cnf中指定的。当然也可以使用之前生成的私钥复制一份改名后放到此路径即可.

[root@subca.centos9.top]$cp  /etc/pki/tls/private/subca.centos9.top.key /etc/pki/CA/private/cakey.pem

• 最后一步创建所需要的文件，子CA搭建完成,子CA可以给其他人签署证书了。

touch /etc/pki/CA/index.txt        #生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial       #指定第一个颁发证书的序列号

web服务器向子CA申请签署证书

• 申请第一步生成密钥

[root@shuaiguoxia tls]# (umask 066; openssl genrsa -out /etc/pki/tls/private/www.shuaiguoxia.com.key 2048)

• 第二步生成申请文件
  红框中的为命令，黄色框中的为注意事项。国家与省必须与子CA配置文件的的规则匹配

  
  

• 上传申请文件，请求子CA签署

[root@shuaiguoxia tls]# scp www.shuaiguoxia.com.csr 10.0.0.56:/etc/pki/CA/private/
root@10.0.0.56's password: 
/root/.bashrc: line 45: alias: /etc/sysconfig/network-scripts/ifcfg-ens33: not found
www.shuaiguoxia.com.csr                     100% 1017     1.0KB/s   00:00    

• 子CA确认红色框中信息后，两次y确认签署证书。然后将证书返回给www服务器即可

  
  

• 将证书传入windwos电脑，双击点开可以查看到完整的证书链。

  
  

常见错误

• wrong number of fields on line 1 (looking for field 6, got 1, '' left)
  原因是/etc/pki/CA/index.txt 文件不为空，可能之前有过其他信息。注意是0字节，不然会报出一个错误。
• unable to open '/etc/pki/CA/index.txt'
  原因是此文件不存在，touch /etc/pki/CA/index.txt创建一个空文件即可