CA服务器的搭建以及证书签署、dropbear的编译安装
一、CA Server和Client:
1、CA server:创建私钥CA
(1) openssl的配置文件:/etc/pki/tls/openssl.conf
如果Client端的申请是来自不同的国家,则需要将下图中红色框内的三项,由“match”改为“optional”
由上图可以得知CA的存放位置为/etc/pki/CA目录下,该目录下有index.txt数据库文件、crl吊销证书存放目录、certs证书存放目录、newscerts默认新证书存放位置、serial证书签署的序列号、crlnumber吊销证书的序列号等等文件。
(2) 创建所需要的文件
#touch /etc/pki/CA/index.txt
#echo 01 > /etc/pki/CA/serial 说明第一个证书的颁发编号从01开始
(3) CA自签证书:
#cd /etc/pki/CA
#(umask 077;openssl genrsa -des -out private/cakey.pem 2048)
(4) 生成自签名证书:
# openssl req -new -x509 -in private/cakey.pem -out cacert.pem -days 365
(注:-new: 生成新证书签署请求;-x509: 专用于CA生成自签证书;-key: 生成请求时用到的私钥文件;-days n:证书的有效期限;-out /PATH/TO/SOMECERTFILE: 证书的保存路径)
(5) Client的证书请求和CA对Client的证书颁发:
# (umask 066;openssl genrsa -out http.key 2048)
# openssl req -new -key http.key -days 365 -out httpd.csr
发送证书请求:
CA对Client端的证书请求进行签署:
将签署完后的证书返回给Client端:
2、证书的管理:
(1)证书的查看:
# openssl x509 -in certs/httpd.crt -noout -text -subject -serial -dates
(2)证书的吊销:
# openssl ca -revoke newcerts/01.pem
(注:01.pem为签署序列号为01的证书文件)
生成吊销证书的编号(第一次吊销一个证书时才需要执行)
echo 01 > /etc/pki/CA/crlnumber
(3)Client端获取要吊销证书的serial:
#openssl x509 -in httpd.crt -noout -serial -subject
(4)更新证书的吊销列表:
# openssl ca -gencrl -out crl/httpd.crl
(5) 查看CRL文件:
# openssl crl -in crl/httpd.crl -noout -text
二、编译安装dropbear
(1)安装准备:1、安装开发包组:yum groupinstall “Development Tools”
2、ftp://172.16.0.1/pub/Sources/sources/dropbear/dropbear-2013.58.tar.bz2
(2)安装:1、tar xf dropbear-2013.58.tar.bz2,
2、less INSTALL
3、./configure
4、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"
5、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install
(3)启动ssh服务:
#ls /usr/local/sbin/ /usr/local/bin/
#/usr/local/sbin/dropbear -h
#mkdi r/etc/dropbear
#dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key-s 2048
#dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
#dropbear -p 2222 -F –E #前台运行
#dropbear -p 2222 #后台运行
(4)客户端访问:
#ssh -p 2222 root@127.0.0.1
#dbclient -p 2222 root@127.0.0.1
原创文章,作者:Aaron_wang,如若转载,请注明出处:http://www.178linux.com/48570
