有证说话硬–实现CA和证书申请

centos下利用openssl来实现证书的颁发

直接进入正题,细节坑就不说了,自己解决起来更有挑战性不是

步骤流程:

我是拿的7.3版本做CA主机,6.8版本做客户端

1.创建CA

2.生成私钥

3.生成自签名证书

4.到客服端

5.生成私钥

6.生成证书申请文件

7.将请求发送给-CA主机

8.CA主机-验证签署

9.拷回给客户端使用

用法:openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-salt]

         openssl 的配置文件:/etc/pki/tls/openssl.cnf   

        选项:  

            -ciphername:指明算法;

            -in filename:要加密的文件;

            -out filename:加密后的文件的存放位置;

            -pass arg:指明密码;

            -e:加密;

            -d:解密;

            -a/-base64:文本格式编码,默认二进制格式编码;

            -salt:给密码添加随机数;

创建CA:

      为CA提供所需的目录及文件,无则创建,有则无需创建(这个非常重要的,关乎到证书的成功与否)

             #touch /etc/pki/CA/index.txt
             #echo 01 > /etc/pki/CA/serial

生成私钥:# (umask 077;openssl genrsa -out  /PATH/TO/PRIVATE_KEY_FILE  NUM_BITS);

             ():表示启动一个子shell,在子shell中运行的命令只对子shell起作用不影响父shell;

              -out:生成的私钥保存的位置;

              NUM_BITS:秘钥位长,它必须是2的n次方倍,例如512、1024、2048、4096等。

             #公钥是从私钥中提取的;

              #默认放置于/etc/pki/CA/private/目录;

         (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

               使用遮罩码077是为了确保私钥文件只有属主可读写

生成自签证书;默认放置于/etc/pki/CA/目录;

             #openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

     -x509:生成自签格式证书,专用于创建私有CA时,非自签证书无需加该选项;

     -key:生成请求时用到的私有文件路径;便于自动从该路径提取公钥;

     -out:生成的请求文件路径,如果自签操作将直接生成签署过的证书;

     – days:证书的有效时长,单位是day;

    #内容要按照cat  /etc/pki/tls/openssl.cnf配置文件的格式要求

      三大严格要求  1.国家  2.省份  3.公司

如下图

有证说话硬--实现CA和证书申请

生成公钥 :cakey.pem
自签证书:cacert.pem

这是生成文件的格式要求,必须在这个目录中

记好填写的信息

有证说话硬--实现CA和证书申请

CA证书就制作ok了

下面咱们就可以一本正经的申请证书了

httpd为例);

用到证书的主机生成私钥

  # mkdir /etc/httpd/ssl   这个私钥的放置目录自己指定,没有要求,用的时候,指定位置就可以了

  # cd /etc/httpd/ssl

  # (umask  077; openssl genrsa -out /etc/httpd/ssl/httpd.key  2048)

用到证书的主机生成证书签署请求

  # openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365 (后面-day指定的证书时限有些说道,这个时间不是我们这里决定的,所以多少无所谓,反正也不生效,归CA来指定)

有证说话硬--实现CA和证书申请

这里和CA的信息必须一致

生成私钥 :httpd.key
生成证书申请文件:httpd.csr
文件格式要求一样的,后缀必须是这个

下面将请求通过可靠方式发送给CA主机;

         # scp /etc/httpd/ssl/httpd.csr root@172.16.27.7:root  (也可以用U盘拷贝)

CA主机在确认安全的情况下  可以签署发证了

CA主机上签署证书;

  # openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 (这里的时间才是决定证书的有效期,可以任意指定)

之后,把证书在拷回给客户端使用,任务完成。

有证说话硬--实现CA和证书申请

字母“V”表示该证书已签署;

原创文章,作者:All well,如若转载,请注明出处:http://www.178linux.com/73183

(0)
All wellAll well
上一篇 2017-04-11
下一篇 2017-04-11

相关推荐

  • 网络管理,程序管理

    lsmod |grep bond0 ifconfig bond0 down 关闭bonding服务 rmmod bonding  删除 bonding 服务 lsmod |grep eth1000 查看  lsmod指令,会列出所有已载入系统的模块 rmmod  删除内核中的一模块  查找网卡驱动e1000 rmmod…

    Linux干货 2016-09-11
  • UML图中类之间的关系:依赖,泛化,关联,聚合,组合,实现

    类与类图 1) 类(Class)封装了数据和行为,是面向对象的重要组成部分,它是具有相同属性、操作、关系的对象集合的总称。 2) 在系统中,每个类具有一定的职责,职责指的是类所担任的任务,即类要完成什么样的功能,要承担什么样的义务。一个类可以有多种职责,设计得好的类一般只有一种职责,在定义类的时候,将类的职责分解成为类的属性和操作(即方法)。 3) 类的属性…

    Linux干货 2015-04-07
  • 幽默:程序员的进化

    高中时期 view plaincopy to clipboardprint? 10 PRINT "HELLO WORLD"   20 END 大学新生 view plaincopy to clipboardprint? …

    Linux干货 2016-05-17
  • 自建CA搭建SSL加密网站

    企业环境中,在安全级别要求较高的公司,经常需要搭建基于SSL加密传输的网站,使用https协议访问web站点,能大大提高网站的安全性。但构建https站点,需要用到证书。内部网站到互联网上申请费用不菲的证书显然不符合经济性。于是,自建内部CA成为我们的首选。 本文以两台服务器,分别扮演CA及Web网站的角色,详细论述自建CA搭建加密网站的过程。  …

    Linux干货 2016-07-29
  • LVS工作原理浅析

    一、什么是LVS         LVS是Linux Virtual Server的简写,意即Linux虚拟服务器,是一个虚拟的服务器集群系统。本项目在1998年5月由章文嵩博士成立,是中国国内最早出现的自由软件项目之一。         LVS集群采用IP负载均衡技术和基于内容…

    Linux干货 2016-11-29