安装并配置 CA 服务器

首先，确保 Linux1 系统上已安装 necessary 工具和软件包。执行以下命令安装 OpenSSL：

sudo apt-get update && sudo apt-get install -y openssl

接着，生成 CA 的自签名证书（CA 证书）：

sudo openssl req -x509 -newkey -days 365 -keyout ca.key -out ca.crt

以下是生成 CA 证书时的详细参数说明：

• -x509：生成自签名证书。
• -newkey：生成新的密钥文件。
• -days 365：证书有效期为 365 天。
• -keyout ca.key：CA 私钥文件名。
• -out ca.crt：CA 证书文件名。

生成证书请求文件

创建一个证书请求文件（CSR），用于颁发用户证书：

sudo openssl req -new -keyout private.key -out request.csr

以下是 CSR 文件的详细参数说明：

• -new：生成新的证书请求。
• -keyout private.key：私钥文件名。
• -out request.csr：证书请求文件名。

颁发证书

使用 CA 私钥签名证书请求文件，颁发证书：

sudo openssl x509 -req -in request.csr -out certificate.crt -signkey ca.key

以下是颁发证书时的详细参数说明：

• -req：验证证书请求。
• -in request.csr：输入证书请求文件。
• -out certificate.crt：颁发的证书文件名。
• -signkey ca.key：使用 CA 私钥签名。

处理私钥

私钥文件名默认为 private.key，请确保私钥文件权限设置为 600（用户读、CA 服务器读）。

chmod 600 private.key

部署证书和私钥

将生成的证书 certificate.crt 和私钥 private.key 复制到目标 Linux 服务器的 /etc/pki/tls 目录：

scp certificate.crt private.key user@linux1:/etc/pki/tls

确认文件权限和权限设置：

chmod 644 /etc/pki/tls/certificate.crtchmod 640 /etc/pki/tls/private.key

验证配置

完成后，访问目标 Linux 服务器，确保浏览器访问时未显示证书警告信息。

sudo systemctl restart apache2

测试 SSL 配置是否正常：

sudo openssl s_client -connect linux1:443

检查输出结果，确保没有 SSL/TLS 错误。