设置 PKI 的第一步是创建根 CA。执行下列操作：

通常情况下，最好不要允许根 CA 发行用户证书。最好创建至少一个子 CA，然后在该子 CA 中创建用户证书。这样做的好处在于可以将根 CA 隔离起来并保证它的安全，例如，可以将它放在位于安全场所并被孤立开来的计算机上。这就使攻击者很难攻击到根 CA。

子 CA 的创建完全与根 CA 的创建方法一致。执行下列操作：

创建客户机和服务器证书与第 42.2.1 节 “创建根 CA”中描述的创建 CA 的方法很类似。同样的原则也在此适用。为了签名目的证书里必须包含发信人（私人密钥持有人）的邮箱地址，以便邮件程序指派正确的证书。为了在加密期间进行证书指派，需要使收件人（公共密钥拥有者）的电子邮件地址包含在证书中。此外，对于服务器和客户证书，必须将服务器的主机名输入到 常用名字段中。证书的默认有效期是 365 天。

创建客户和服务器证书，操作步骤如下：

撤消受到损坏或不需要的证书，操作步骤如下：

但仅执行“撤消”并不足以取消一个证书。同样，在一个 CRL 中发布已撤消的证书。第 42.2.5 节 “创建 CRL ”中说明了如何创建 CRL。发布到 CRL 中的撤消证书，可使用 删除将其完全删除。

前面几节介绍了如何创建子 CA、客户机证书和服务器证书。在 X.509 证书的扩展中使用了一些特殊设置。已根据每种证书类型而为这些设置提供了合理的默认值，通常不需要更改。但是，您可能对这些扩展有特殊要求。如果是这样，修改默认值就变得有意义了。否则，每次创建证书时都要从头开始。

只有在此操作之后，对默认值的所有更改才生效。不会修改经存在的 CA 和证书。

如果要排除已泄漏或因其他原因而不想要的证书防止它们继续被使用，必须首先将它们撤消。第 42.2.3 节 “创建或撤消用户证书”（针对子 CA）和第 42.2.2 节 “创建或撤消子 CA”（针对用户证书）两节中介绍了此过程。此后，必须使用此信息创建和发布一个 CRL。

系统只为每个 CA 保留一个 CRL。创建或更新此 CRL,操作如下：

如果 CRL 不可用或满期，评估 CRL 的应用软件将拒绝所有证书。在当前 CRL 满期（超过有效期）之前经常创建和发布新的 CRL 是 PKI 供应商的职责。YaST 不支持此过程的自动化。

要进行 LDAP 导出，执行计算机应配置有 YaST LDAP 客户机。它运行时提供 LDAP 服务器信息，填写对话框字段的时候需要这些信息。否则，虽然可以进行导出，但必须手动输入所有 LDAP 数据。您总是要输入多个密码（请参见表 表 42.3 “LDAP 导出期间的密码”）。

可以将证书、CA 和 CRLs 导出到 LDAP。

如果已经在计算机上设置了一个用来管理 CA 的储存库，则可以使用此选项在正确的位置直接以文件形式创建 CA 对象。有多种输出格式可用，如 PEM、DER 和 PKCS12。在 PEM 情况下, 可以选择是否使用密钥将证书导出，以及该密钥是否要加密。在 PKCS12 情况下，可以导出证书路径。

可以采取与使用 LDAP 相同的方式导出证书、CA 文件，只是要选择以文件导出，而不是导出到 LDAP，详见第 42.2.6 节 “将 CA 对象导出到 LDAP ”。完成上述操作后将进入一个对话框，在其中可选择所需输出格式并输入密码和文件名。单击确定后，即将证书储存在所需位置。

对于 CRL，单击导出，选择导出到文件，选择导出格式（PEM 或 DER），然后输入路径。继续单击确定，将其保存到相应的位置。

您可以选择文件系统中的任何储存位置。此选项也可用于将 CA 项目保存在传输媒体（例如 USB 储存棒）上。/媒体 目录通常包含除系统硬盘驱动器之外的各类驱动器。

如果已经在孤立的 CA 管理计算机上使用 YaST 将服务器证书导出到媒体，则可以将此证书作为普通服务器证书导入到服务器上。使用 YaST 在安装期间或稍后的步骤中执行此操作。

要成功地导入证书，您需要一个 PKCS12 格式。

公共服务器证书储存在 /etc/ssl/servercerts 中，任何支持 CA 的服务均可在此使用它。此证书失效时，则可以使用相同的机制方便地替换此证书。要使用替代证书运行各事件，重启动这些参与的服务。

如果在这里选择了导入，则可以在文件系统中选择导入源。此选项也可用从传输媒体导入证书，例如 USB 储存棒。

导如一个一般服务器证书，操作如下：