创建CA

创建CA和申请证书

创建私有CA:

首先在CA服务器端创建CA

先去看openssl的配置文件: /etc/pki/tls/openssl.cnf

一般我们不会去更改这个配置文件,但是要去看一下。我们是根据这个文件创建的CA.

这个文件里是openssl的配置文件,我们打开后只观察与CA有关的文件。

 

创建CA

在文本中可以看出一个主机中可以有多个CA,并且指定出默认CA为CA_default。

创建CA

 

创建CA

 

三种策略要求:

match匹配
supplied支持
 optional可选

匹配指要求申请填写的信息跟CA设置信息必须一致, 支持指必须填写这项申请信息, 可选指可有可无

要想改变策略可以直接更改该文件。

 

前面文档了解之后我们就开始创建了。

首先我们先创建一个私钥。

 

生成私钥

(umask 066; openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)

创建CA

我们可以查看一下目录结构看看是否生成秘钥文件。

tree /etc/pki/CA/

创建CA

创建好私钥后我们要自签名证书

 

 

CA自签证书

创建CA和申请证书生成自签名证书

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

创建CA

我们可以查看一下生成的证书

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

 

创建CA

文件里显示的证书的详尽信息,颁发者,有效时间什么的。

 

申请证书

CA自签名做好之后要用客户端去申请证书

 

申请证书前,客户端也要先生成私钥文件。

(umask 066;openssl genrsa -out /app/RA/service.key 4096)

创建CA

 

然后生成证书申请文件

openssl req -new -key /app/RA/service.key -out /app/RA/service.csr

创建CA

 

将证书请求文件传输给CA

scp /app/RA/service.csr 172.16.251.18:/etc/pki/CA/

创建CA

为了方便管理,在CA端的/etc/pki/CA下创建msc文件并把文件请求放到文件夹里

创建CA

CA签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr  -out /etc/pki/CA/certs/service.crt -days 365

创建CA

这里报错是因为服务器创建CA的时候没有创建数据可文件。所以这一要创建一下这个文件。

touch /etc/pki/CA/index.txt

但是只有这个文件还是不行的,还序号文件没有开始序号。所以这也要创建。

并且序号只能是两位,如果不是就会报错。

echo 01> /etc/pki/CA/serial

当然这两步也在创建CA是就做是最好的。

然后重新颁发证书试试。

创建CA


注意:默认国家,省,公司名称三项必须和
CA一致

同意之后我们可以查看一下我们刚创建的数据库有变化没。

创建CA

这是就已经有新文件产生。数据库发生变化。

到此申请证书结束。

我们可以查看证书的信息

openssl x509 -in certs/service.crt -noout -text

创建CA

 

 吊销证书

 

CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:

openssl ca -revoke newcerts/91.pem

创建CA

然后擦汗一下数据库

创建CA

可以看见证书前面状态是R ,代表已经吊销。

然后指定第一个吊销证书的编号

注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

创建CA

查看crl文件:

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

创建CA

原创文章,作者:phosphor,如若转载,请注明出处:http://www.178linux.com/82318

(0)
phosphorphosphor
上一篇 2017-07-28
下一篇 2017-07-28

相关推荐

  • http配置文件中文文档

    Apache中Httpd.conf详解 Apache 的 httpd.conf 详解 # # Apache服务器主配置文件. 包括服务器指令的目录设置. # 详见 <URL:http://www.apache.org/docs/>  # # 请在理解用途的基础上阅读各指令。 # # 再读取此文档后,服务器将继续搜索运行 # E:/Pro…

    Linux干货 2017-08-08
  • IO,用户与组管理,文件,目录权限管理

           文件统配匹配模式:元字符文件名通配符*匹配任意长度的任意字符[root@localhost ~]# ls /root/D*/root/Desktop  /root/Documents  /root/Downloads ?匹配单个任意字符[root@localhost ~]# …

    Linux干货 2016-08-05
  • 第二周博客作业

    1.Linux上的文件管理类命令都有那些,其常用的使用方法及其相关示例演示。
    2.Bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。
    3.请使用命令行展开功能来完成以下的练习。
    4.文件的元数据信息有哪些,分别表示什么含义,如何查看?如何修改文件的时间戳信息。
    5.如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?
    6.显示/var目录下所有以1开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其他字符)的文件或目录。
    7.显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。
    8.显示/etc目录下,以非字母开头,后面跟了一个字母以及其他任意长度任意字符的文件或目录。
    9.在/tmp目录下创建以tgile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22
    10.复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。
    11.复制/etc目录下所有以.d结尾的文件或目录到/tmp/mytest2目录中。
    12.复制/etc目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    2018-03-22
  • Hadoop hdfs 分布式文件系统

    Hadoop简介:一个分布式系统基础架构,由Apache基金会开发。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力高速运算和存储。Hadoop实现了一个分布式文件系统(Hadoop Distributed File System),简称HDFS。HDFS有着高容错性的特点,并且设计用来部署在低廉的(low-cost)硬件…

    Linux干货 2017-04-19
  • rpm实现LAMP

    rpm实现LAMP部署 LAMP概述 LAMP指的Linux(操作系统)、ApacheHTTP 服务器,MySQL(有时也指MariaDB,数据库软件) 和PHP(有时也是指Perl或Python) 的第一个字母,一般用来建立web应用平台。常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同…

    Linux干货 2016-11-02
  • find 详解

    find 命令基本用法:         find pathname [opotions] [-print | -exec | -ok …] 1、find 基本参数:         pa…

    Linux干货 2016-12-26