Red Hat Training

A Red Hat training course is available for RHEL 8

3.9. 使用私有 CA ,使用 GnuTLS 为 CSR 发布证书

要让系统建立 TLS 加密通信频道,证书颁发机构(CA)必须为它们提供有效的证书。如果您有私有 CA,您可以通过从系统签署证书签名请求(CSR)来创建请求的证书。

前提条件

流程

  1. 可选:使用您选择的文本编辑器准备 GnuTLS 配置文件,来为证书添加扩展,例如:

    $ vi <server-extensions.cfg>
    honor_crq_extensions
    ocsp_uri = "http://ocsp.example.com"
  2. 使用 certtool 工具创建基于 CSR 的证书,例如:

    $ certtool --generate-certificate --load-request <example-server.crq> --load-ca-privkey <ca.key> --load-ca-certificate <ca.crt> --template <server-extensions.cfg> --outfile <example-server.crt>

其他资源

  • certtool(1) 手册页