Do szybkiego zbudowania  CA w linuksie wystarczy kilka poleceń. Cały proces składa się z:

1. przygotowania pliku konfiguracyjnego (a właściwie przerobienie pliku opnessl.cnf)
2. wygenerowania odpowiedniej struktury katalogów
3. wygenerowania samopodpisanego certyfikatu CA

Plik openssl.cnf zawiera sekcję [ CA_default ] opisującą domyślne CA. W tej sekcji należy podmienić wartość zmiennej dir na katalog, w którym umieszczone będzie CA. Tam też można dla wygody umieścić zmodyfikowaną wersję pliku konfiguracyjnego.

Kolejny krok to założenie struktury katalogów:

bash$ mkdir certs private newcerts crl
bash$ touch index.txt
bash$ echo -n '00' > serial

Ostatni krok to wygenerowanie samopodpisanego certyfikatu dla naszego CA:

bash$ openssl req -x509 -newkey rsa:2048 -keyout private/cakey.pem\
 -out cacert.pem -days 3650 -config ./openssl.cnf

Na koniec pozostaje podać polecenia do generowania nowego certyfikatu przez nasze CA (pierwsze generuje rządanie certyfikatu a drugie podpisuje je kluczem prywatnym naszego CA):

bash$ openssl req -newkey rsa:1024 -keyout private/NAZWA.pem \
-out req.pem -days 365 -config ./openssl.cnf
bash$ openssl ca -config ./openssl.cnf -policy policy_anything \
-in req.pem -out certs/NAZWA.pem

Aby sprawnić sobie proces generowania certyfikatów można wyedytować plik openssl.cnf i ustawić odpowiednio domyślne wartości pól z certyfikatów (np. Organization, Locality, itp…)

Do przechowywania tak skonstruowanego CA można wykporzystać zaszyfrowany pendrive.