创建私有CA

 

什么是CA

  CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。

搭建私有CA

一、搭建CA服务器

1、生成密钥

ca.png

  • ( ):表示此命令在子进程中运行,其目的是为了不改变当前Shell中的umask值

  • genrsa:生成私钥

  • -out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致

  • 4096:密钥长度,默认为1024

2、生成自签证书

ca1.png

  • req:生成证书签署请求

  • -new:生成新证书签署请求

  • -x509:生成自签格式证书,专用于创建私有CA时

  • -key:生成请求时用到的使用文件路径

  • -out:生成的请求文件路径,如果自签操作将直接生成签署过的证书

  • -days:证书的有效时长,单位是day

3、为CA提供所需的目录及文件

    ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

    ~]# touch /etc/pki/CA/{serial,index.txt}

    ~]# echo 01 > /etc/pki/CA/serial
  • index.txt:索引文件,用于匹配证书编号

  • serial:证书序列号文件,只在首次生成证书时赋值

二、节点向CA请求签署证书

1、用到证书的主机生成私钥

ca2.png

2、生成证书签署请求

ca3.png

3、将请求通过可靠方式发送给CA主机

ca4.png

三、签署证书

1、在CA服务器上签署证书

ca5.png

2、发送给请求者

ca6.png

四、吊销证书

(一)、节点请求吊销
1、客户端获取要吊销的证书的serial(在使用证书的主机执行)

ca7.png

  • x509:证书格式

  • -in:要吊销的证书

  • -noout:不输出额外信息

  • -serial:显示序列号

  • -subject:显示subject信息

(二)、CA验证信息
1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致

ca8.png

2、吊销证书

ca9.png

  • -revoke:删除证书

3、生成吊销证书的吊销编号(第一次吊销证书时执行)

aa.png

4、更新吊销证书列表

ca10.png

  • -gencrl:生成证书吊销列表

5、查看crl文件

ca11.png

  • -text:以文本形式显示

 

原创文章,作者:641348038@qq.com,如若转载,请注明出处:http://www.178linux.com/67722

(0)
641348038@qq.com641348038@qq.com
上一篇 2017-02-07
下一篇 2017-02-07

相关推荐

  • SHELL编程之数组运用及YUM软件包管理

    SHELL编程中,当要引用到多个值的时候,一个一个地进行变量赋值会让我们的脚本变得繁琐,不利于代码的优化,所以,就需要通过数组进行定义,优化代码,减少不必要的定义和命令操作。 SHELL中的数组:存储多个元素的连续内存空间 数组名:整个属组只有一个名字 数组索引: 编号从0开始   数组名[索引]   ${array_name[index…

    Linux干货 2016-08-24
  • 马哥教育网络班19期+第7周课程练习

    1.创建一个10G分区,并格式为ext4文件系统:   (1)要求其block大小为2048,预留空间百分比为2,卷标为MYDATA,默认挂载属性包含acl;   (2)挂载至/data/mydata目录,要求挂载时禁止程序自行运行,且不更新文件的访问时间戳;   fdisk /dev/sdb    part…

    Linux干货 2016-06-22
  • 初学Linux之快速获取帮助

    Windows操作系统和Linux操作系统的界面区别,导致了初学Linux时,我们会遇到比较大的障碍。Windows操作系统时图形这种形象化的操作界面,而Linux则不同,时以字符界面为主的。当我们遇到困难,我们可以获取系统提供的帮助信息,越过我们遇到的障碍,快速的熟悉Linux。获取帮助的方法包括:Linux手册(man),命令的帮助页,info帮助。

    2017-11-19
  • 马哥面授班20期-第一周(计算机基础,linux入门)

    一.计算机发展历史及硬件组成部分     计算机发展历史:第一代:(1946-1957)电子管时代,第二代:(1958-1964)晶体管时代,              第三代:(1965-1970)集成电路时…

    Linux干货 2016-07-26
  • 请罗列Linux发行版的基础目录名称命名法则及功用规定

    Linux文件系统 <逻辑视图>     根文件系统(rootfs):         root filesystem     LSB,FHS:(FileSystem Heirache Standard)         /bo…

    Linux干货 2016-10-30
  • Linux终端类型

    目录 1. 终端概述 2. 串行端口终端(/dev/ttySn) 3. 伪终端(/dev/pty/) 4. 控制终端(/dev/tty) 5. 控制台终端(/dev/ttyn, /dev/console) 6. 虚拟终端(/dev/pts/n) 7. 其它类型   终端概述 终端…

    Linux干货 2016-10-18

评论列表(1条)

  • luoweiro
    luoweiro 2017-02-23 07:26

    步骤详细,如果有关于加密相关的原理介绍会更好,加油。