****

听说你想用CentOS搞个CA服务器？别慌，这操作就像在Linux界开了一家“证书银行”——只不过你既是行长又是保安，还能给自己发“信用卡”（SSL证书）！今天咱们就用最野的路子，把OpenSSL这头“瑞士军刀”驯服成你的私人印钞机！（注：此比喻仅用于技术幽默，切勿当真印钞！）

一、CA服务器是啥？先来个灵魂比喻

想象一下CA（Certificate Authority）就是互联网的“公证处”：

- 正经CA：像VeriSign这种大佬，相当于“国家级公证处”，签发的证书全世界都认。

- 自建CA：相当于你在自家车库开了个“老王公证处”，虽然浏览器会撇嘴说“不认识”，但内网设备绝对把你当亲爹供着！

适用场景：公司内网、开发测试、不想给公网CA交保护费的时候。

二、CentOS搞CA的硬核条件

1. 系统要求：

- CentOS 7/8/Stream都行（别用CentOS 6，它已经退休去佛罗里达晒太阳了）。

- 硬盘空间？只要够存你的“良心”（和密钥），1GB都嫌多。

2. 软件武器库：

```bash

先掏出OpenSSL这把祖传菜刀

sudo yum install openssl -y

CentOS 7

sudo dnf install openssl -y

CentOS 8+

```

（如果连这都报错，建议先检查网络是不是被猫挠断了）

三、实操环节：从零开始当CA行长

Step 1: 创建你的“地下金库”目录

```bash

sudo mkdir /etc/pki/CA/{certs,crl,newcerts,private} -p

sudo chmod 700 /etc/pki/CA/private

密钥库要锁好，别让黑客顺走！

```

Step 2: 生成CA根密钥（你的“行长私章”）

sudo openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096

⚠️警告：这密钥比你的银行卡密码还重要，丢了就等着全员重装证书吧！

Step 3: 自签根证书（给自己发张“营业执照”）

sudo openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem \

-out /etc/pki/CA/cacert.pem -days 3650

填表时重点字段：

- `Common Name`：写个霸气的名字，比如 `BigBoss CA`

- 其他随便填，但别学某网友写 `国家=Neverland`（除非你住彼得潘老家）

Step 4: 初始化CA数据库

sudo touch /etc/pki/CA/index.txt

echo "01" | sudo tee /etc/pki/CA/serial

这步相当于给你的“证书流水账”买个记账本。

四、签发第一张证书（体验当大佬的快感）

假设要给内网网站 `secure.laowang.com` 发证：

Step 1: 生成网站密钥对

openssl genrsa -out laowang.key 2048

Step 2: 制作证书请求(CSR)

openssl req -new -key laowang.key -out laowang.csr

⚠️灵魂拷问：`Common Name`必须填域名！否则就像给身份证贴了狗头——完全没用！

Step 3: CA行长签字画押

sudo openssl ca -policy policy_anything \

-keyfile /etc/pki/CA/private/cakey.pem \

-cert /etc/pki/CA/cacert.pem \

-in laowang.csr -out laowang.crt -days 365

看到 `Signed certificate is in laowang.crt`？恭喜你成功“印刷”了第一张证书！

五、让系统认你这个“野鸡CA”

想让浏览器不报警？把根证书 `cacert.pem` 导入到受信任列表：

- Windows：双击→安装证书→选“受信任的根证书颁发机构”。

- Linux/Mac：拷贝到 `/usr/local/share/ca-certificates/`后跑 `update-ca-certificates`。

（效果相当于告诉电脑：“这我哥们，他发的证我全认！”）

六、翻车急救指南

1. 报错"Unable to load CA private key" →检查密钥路径和权限是不是被熊孩子改了。

2. 证书过期怎么办？ →重新签呗，记得改 `-days`参数，建议设成 `3650`（十年后你可能早忘了这回事）。

3. 想吊销证书？ →用 `openssl ca -revoke`+更新CRL文件，流程堪比银行挂失。

七、高级玩法彩蛋

- 自动续期脚本：写个cron任务自动检查过期证书，比信用卡还款提醒还贴心。

- 二级子CA：给不同部门分派“分行长”，适合超大型企业内网（权力游戏既视感拉满）。

****

现在你已经是CentOS CA界的“地下教父”了！虽然自签证书公网没人认，但在内网你就是规则制定者——下次再看到浏览器警告时，可以邪魅一笑：“呵，凡人不懂我的权威。”

（安全提示：生产环境请务必配合硬件加密机使用，别真拿车库当金库啊！）

TAG:centos可以建ca服务器吗,centos建站教程,centos做服务器,centos搭建局域网服务器