用aubin搭建web伺服器

A. 私有CA伺服器的搭建

首先在根CA進行簽署自證證書，然後子CA向根CA申請證書，根CA簽署證書後子CA就可以向其他申請者發放證書。此時的子CA伺服器相對於根伺服器來說是申請者，相對於web伺服器申請者是簽署者，所以子CA是兩個身份，既是申請者又是簽署者。三者之間的關系一定要搞清楚，否則在搭建的時候容易出現混亂。

配置文件 /etc/pki/tls/openssl.cnf 省略了一部分配置文件只保留了有關CA的配置。如果伺服器為證書簽署者的身份那麼就會用到此配置文件，此配置文件對於證書申請者是無作用的。

我在搭建CA伺服器時就是因為對目錄結構不清晰，導致搭建失敗。所以在搭建之前要把最重要兩個目錄結構搞清楚。

/etc/pki/CA/cacert.pem就是生成的自簽名證書文件，使用sz工具將他導出到windows機器中。然後雙擊安裝此證書到受信任的根證書頒發機構。

再次將證書傳到windows電腦中，雙擊查看此證書，可以看到是ca.aubin.red頒發給subca.centos9.top的證書。顯示此證書是正常的可用的前提是要將之前的證書安裝好可信的根證書路徑。

同時也將子CA的證書安裝到電腦中後，子CA就可以給其他申請者簽署證書了。