用于签名证书请求、生成CRL、维护一个记录已颁发证书和这些证书状态的数据库。

证书请求私用CA的私钥签名之后就是证书。

[root@xuexi tmp]# man ca

SYNOPSIS

openssl ca [-verbose] 

 [-name section] [-gencrl] 

 [-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_CA_compromise time] [-crldays days] [-crlhours hours] [-crlexts section] [-startdate date] [-enddate date] 

 [-passin arg] 

 [-notext] [-outdir dir] 

 [-spkac file] [-ss_cert file] [-preserveDN] [-noemailDN] 

 [-msie_hack] [-extensions section] [-extfile section] [-engine id] [-subj arg] [-utf8] [-multivalue-rdn]

该伪命令的选项太多，分类来解释。

要注意，ca命令是用于签名证书的，所以它所需要的文件除了配置文件外就是私钥文件和证书请求文件，而签名后生成的文件是证书文件，因此使用-in指定的对象是签名文件，-infile是指定多个签名文件，-keyfile是指定私钥文件，-out是指定输出的证书文件。

【CA选项】

-config filename:指定要使用的配置文件，指定后将忽略openssl.cnf中指定的关于ca的配置选项。

-name section:指定使用配置文件中的那个section。指定后将忽略openssl.cnf中的default_ca段。

-in filename:指定要被CA签名的单个证书请求文件。根CA为其他证书签名时使用。

-infiles:该选项只能是最后一个选项，该选项所接的所有参数都被认为是要被签名的证书请求文件，即一次性签名多个请求文件时使用的选项。

-selfsign:使用伪命令ca自签名。需指定私钥和证书请求文件。指定-ss_cert选项时该选项被忽略。

-ss_cert filename:将被CA自签名的单个证书文件。

-out filename:证书的输出文件，同时也会输出到屏幕。不指定时默认输出到stdout。

-outdir dir_name:证书的输出目录。指定该选项时将自动在此目录下生成一个文件名包含16进制serial值的.pem证书文件。

-cert:CA自己的证书文件。

-keyfile filename:指定签名证书请求时的私钥文件，即CA自己的私钥文件。

-key passwd_value:指定私钥的加密密码。

-passin arg:指定密码，什么的密码？

-verbose:打印操作执行时的详细信息

-notext:禁止将证书输出到-out指定的文件中

-days arg:证书有效期限，从创建时刻开始算startdate，有效期结束点为enddate。

-startdate:自指定证书的开始时间，和-enddate一起使用可以推算出证书有效期。

-enddate:自指定证书的结束时间。

-md alg:指定单向加密算法

-policy arg:该选项是配置文件中的section内容，该选项指定了证书信息中的field部分是否需要强制提供还是要强制匹配，或者可提供可不提供。详细的见配置文件说明。

-extensions section:指定当前创建的证书使用配置文件中的哪个section作为扩展属性。

-batch:使用批处理模式，即非交互模式。该模式下不会询问。

-subj arg:取代证书请求中的subject，格式/type0=value0/type1=value1/type2=...

【crl相关】

-gencrl:基于index file中的信息生成crl。

-crldays num:该值为crl距离到期的天数，计算方式是从现在开始到CRL nextUpdate字段中定义的时间距离。

-crlhours num:该值为CRL距离到期的小时数。

-revoke filename:要吊销的证书文件。

配置文件关于ca的部分

其中被标记为必须项的表示配置文件中或者命令行中必须给出该选项及其值。

new_certs_dir:等同于-outdir选项。必须项

certificate:等同于-cert选项，CA自己的证书文件。必须项

private_key:等同于-keyfile选项，签名请求时私钥文件即CA自己的私钥文件。必须项

default_days:等同于-days选项。

default_startdate:等同于-startdate选项。

default_enddate:等同于-enddate选项。

default_crl_hours/default_crl_days:分别等同于-crlhours/-crldays选项。生成CRL时必须项

default_md:等同于-md选项。必须项

database:openssl维护的数据库文件。存放证书条目信息及状态信息。必须项

serial:已颁发证书的序列号（16进制）文件。必须项且该文件中必须存在一个序列值

unique_subject:如果设置为yes，database中的subject列值必须不重复。如果设置为no，允许subject重复。默认是yes，这是为了兼容老版本的Openssl，推荐设置为no。

crlnumber:记录下一个crl序列号（16进制）的文件。该文件必须包含一个有效的crl值。

x509_extensions:等同于-extensions选项。

crl_extensions:等同于-crlexts选项。

policy:等同于-policy选项。必须项

name_opt/cert_opt:证书的展示格式，虽非必须但建议设置为ca_default，若不设置将默认使用老版本的证书格式（不建议如此）。伪命令ca无法直接设置这两个选项，而伪命令x509的-nameopt和-certopt选项可以分别设置。

copy_extensions:决定证书请求中的扩展项如何处理的。如果设置为none或不写该选项，则扩展项被忽略并且不复制到证书中去。如果设置为copy，那么证书请求中已存在而证书中不存在的扩展项将复制到证书中。如果设置为copyall，那么证书请求中所有的扩展项都复制到证书中：此时如果证书中已存在某扩展项，则先删除再复制。该选项的主要作用是允许证书请求为特定的扩展项如subjectAltName提供值。使用该选项前请先查看man ca中的WARNINGS部分。建议一般简单使用时设置为none或不设置。

更多关于ca配置项请看：http://www.cnblogs.com/f-ck-need-u/p/6091027.html

关于ca的自签名和签名的方法请看：http://www.cnblogs.com/f-ck-need-u/p/6091105.html