CA的构成:
PKI: Public Key Infrastructure
签证机构:CA(Certificate Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
X.509:
定义了证书的结构以及认证协议标准
版本号
序列号
签名算法
颁发者
有效期限
主体名称
主体公钥
CRL分发点
扩展信息
发行者签名
证书类型:
证书授权机构的证书
服务器
用户证书
获取证书两种方法:
1.使用证书授权机构
生成签名请求(csr)
将csr发送给CA
从CA处接收签名
2.自签名的证书
自己签发自己的公钥
/etc/pki/tls/openssl.cnf
CA配置文件:
dir = /etc/pki/CA
certs = $dir/certs 颁发的证书必须在这个目录下
crl_dir = $dir/crl 吊销证书列表
database = $dir/indcdex.txt
new_certs_dir = $dir/newcerts
给谁颁发过证书的目录
certificate = $dir/cacert.pem
Ca自签证的证书存放路径(文件名要一致上级CA颁发)
serial = $dir/serial
下一个证书的编号(16进制数,需创建)
crlnumber = $dir/crlnumber
下一个要吊销证书的编号 (要手动创建)
crl = $dir/crl.pem
证书吊销列表
private_key = $dir/private/cakey.pem
CA自己私钥文件路径(文件名后缀必须一致)
RADNFILE =$dir/private/.rand
创建私钥时要用到的生成随机数文件
default_days = 365 证书有效期
default_crl_days= 30 30天更新一次CRL
default_md = sha256 默认用sha256加密
preserve = no 保持通过DN排序
policy = policy_match 申请证书时的策略
CA策略:policy
policy_match
countryName = match 必写国家
stateOrProvinceName = match 省
organizationName = match 公司名
organizationalUnitName = optional 公司部门
commonName(通用名网站域名) = supplied 必须提供(*要与的网站名匹配)
emailAddress = optional 可以空不写
policy_anything
则是申请时国家,市等可以不一至也行
——————————————————————————–
实验:向CA申请证书
1 建立RootCA
1)生成私钥
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096 )
2)自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
req :发申请
-new: 建立第一个申请
-x509: 代表自签名的证书
-key: 后面跟用到的私钥文件路径
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
依次输入:国家 ;省 ;公司;部门;网站域名;邮箱
可用下面指令看证书详细信息:
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
-noout -issuer 只看谁发行的证书
-noout -subject 只看给谁颁发的证书
-noout -dates 查看证书日期
2 用户或服务器
1)生成私钥
(umask 077;openssl genrsa -out app.key 1024 )
一般放在和服务相关的文件夹里面
2)生成证书申请文件
openssl req -new -key app.key -out app.csr
依次输入:国家;市;公司名;部门;(新的)服务域名;邮箱
3)将申请文件app.csr发给CA
scp
3 CA颁发证书
touch index.txt 创建证书索引库
echo 0F > serial 创建下一个要颁发的证书编号
openssl ca -in app.csr -out /etc/pki/CA/certs/app.crt -days 100
——————————————————————————–
同一个私钥可以重新申请申请证书;两个证书给两个服务用
CA默认不能给同一个申请证书多次颁发证书但修改/etc/pki/CA/index.txt.attr文件就可以实现
unique_subject = yes为不能 no为可以
——————————————————————————–
openssl ca -revoke newcerts /10.pem
根据newcerts目录下的证书编号来吊销证书
/etc/pki/CA/index.txt
开头的V代表 可用 ;R代表吊销
创建吊销列表编号文件:echo 1F >/etc/pki/CA/crlnumber
生成吊销列表:
openssl ca -gencrl -out crl.pem
每吊销一个证书都要重新生成一次吊销列表
本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/99148
