证书颁发机构(CA)发出数字证书，以通过证书的命名主题证明公钥的所有权。
可信证书通常用于通过Internet与服务器进行安全连接。
需要证书，以避免遇到恰好在目标服务器的路径上的恶意方假装成为目标。
这样的场景通常被称为中间人攻击。

一般人们在互联网上使用信任的CA，如VeriSign，但有些情况我们需要自己的CA，希望为Intranet或者VPN添加另外的安全，或者我们可能不想支付一个。

安装openssl.

首先，我们将首先安装openssl实用程序，如果我们使用的是CentOS/Fedora/Rhel，我们可以使用这样的yum执行此操作：

# yum install openssl

如果我们使用的是ubuntu/debian，我们可以使用apt-get：

# apt-get install openssl

创建自己的CA

要创建自己的CA，我们可以使用openssl包附带的脚本，为此，首先转到一个空目录，然后运行这样的脚本：对于CentOS/Fedora/Rhel

# /usr/share/ssl/misc/CA.pl -newca

Ubuntu/Debian.

# /usr/lib/ssl/misc/CA.pl -newca

该脚本将通过创建新CA的所有步骤来运行我们，这并不重要，我们在字段中输入的内容非常重要，所有条目都是不言自明的。

完整的过程会看起来像这样：

创建证书

既然我们有自己的证书颁发机构(CA)，我们可以为局域网上的服务器创建数字证书，用于VPN客户端或者使用SSL所需的任何服务。
这意味着我们必须执行两个步骤：

首先，我们需要创建私钥和证书请求：

# /usr/lib/ssl/misc/CA.pl -newreq

我们将被问及与Newca选项中的相同问题，如下所示：

现在我们可以使用以下命令使用CA签署该证书：

# /usr/lib/ssl/misc/CA.pl -sign