创建CA

创建CA和申请证书

创建私有CA:

首先在CA服务器端创建CA

先去看openssl的配置文件: /etc/pki/tls/openssl.cnf

一般我们不会去更改这个配置文件,但是要去看一下。我们是根据这个文件创建的CA.

这个文件里是openssl的配置文件,我们打开后只观察与CA有关的文件。

 

创建CA

在文本中可以看出一个主机中可以有多个CA,并且指定出默认CA为CA_default。

创建CA

 

创建CA

 

三种策略要求:

match匹配
supplied支持
 optional可选

匹配指要求申请填写的信息跟CA设置信息必须一致, 支持指必须填写这项申请信息, 可选指可有可无

要想改变策略可以直接更改该文件。

 

前面文档了解之后我们就开始创建了。

首先我们先创建一个私钥。

 

生成私钥

(umask 066; openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)

创建CA

我们可以查看一下目录结构看看是否生成秘钥文件。

tree /etc/pki/CA/

创建CA

创建好私钥后我们要自签名证书

 

 

CA自签证书

创建CA和申请证书生成自签名证书

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

创建CA

我们可以查看一下生成的证书

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

 

创建CA

文件里显示的证书的详尽信息,颁发者,有效时间什么的。

 

申请证书

CA自签名做好之后要用客户端去申请证书

 

申请证书前,客户端也要先生成私钥文件。

(umask 066;openssl genrsa -out /app/RA/service.key 4096)

创建CA

 

然后生成证书申请文件

openssl req -new -key /app/RA/service.key -out /app/RA/service.csr

创建CA

 

将证书请求文件传输给CA

scp /app/RA/service.csr 172.16.251.18:/etc/pki/CA/

创建CA

为了方便管理,在CA端的/etc/pki/CA下创建msc文件并把文件请求放到文件夹里

创建CA

CA签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr  -out /etc/pki/CA/certs/service.crt -days 365

创建CA

这里报错是因为服务器创建CA的时候没有创建数据可文件。所以这一要创建一下这个文件。

touch /etc/pki/CA/index.txt

但是只有这个文件还是不行的,还序号文件没有开始序号。所以这也要创建。

并且序号只能是两位,如果不是就会报错。

echo 01> /etc/pki/CA/serial

当然这两步也在创建CA是就做是最好的。

然后重新颁发证书试试。

创建CA


注意:默认国家,省,公司名称三项必须和
CA一致

同意之后我们可以查看一下我们刚创建的数据库有变化没。

创建CA

这是就已经有新文件产生。数据库发生变化。

到此申请证书结束。

我们可以查看证书的信息

openssl x509 -in certs/service.crt -noout -text

创建CA

 

 吊销证书

 

CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:

openssl ca -revoke newcerts/91.pem

创建CA

然后擦汗一下数据库

创建CA

可以看见证书前面状态是R ,代表已经吊销。

然后指定第一个吊销证书的编号

注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

创建CA

查看crl文件:

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

创建CA

原创文章,作者:phosphor,如若转载,请注明出处:http://www.178linux.com/82318

(0)
phosphorphosphor
上一篇 2017-07-28
下一篇 2017-07-28

相关推荐

  • Linux中实现java和c语言打印Hello world小程序

    1、C语言实现 先确认linux系统中是否gcc编译器,可以通过rpm -q gcc查询系统已经安装gcc软件包,如果没有安装可以到系统自带光盘里面安装相应的安装包软件。 使用rpm -ivh gcc-4.8.5-4.el7.x86_64.rpm安装编译器,安装后再查询确认已经成功 环境准备好了,我们就可以编写C语言的代码了,我们可以使用vim编辑器编写第一…

    Linux干货 2016-08-26
  • Linux进程及作业管理总结

    一、简介     在使用Windows操作系统中很多时候需要查看某些程序进程的运行情况,一般来说我们可以打开Windows提供的"任务管理器",然后点击"进程"栏即可查看到当前系统运行的进程列表。例如偶尔出现系统内存、CPU占用过高的时候,我们往往都会查看进程列表,并找到当前占用内存或CPU过高的进…

    Linux干货 2015-10-05
  • 推荐-常用RAID级别详解

    一、RAID是什么       RAID(Redundant Arrays of Indent Disks)的名称是独立磁盘冗余阵列,是一种通过将多块硬盘按照某种特定的结构组织起来当做一块硬盘来使用的技术,多块硬盘不同的组织结构我们称之为RAID的级别。而RAID技术的特性主要表现在两个方面: (1)提高硬盘…

    Linux干货 2016-03-27
  • 压缩、解压缩及归档工具

    压缩、解压缩及归档工具 一、杂项知识整理 1、find -iname 忽略大小写;     -inum 查找指定inode号的文件;  find 在有条件判断的时候,如果不加括号,最后的命令会被当成以为第二个条件之后的:例 [root@localhost shelltest]# find&…

    Linux干货 2016-08-18