openssl生成私有CA过程
2017-03-28 13:10
267 查看
openssl的配置文件:/etc/pki/tls/openssl.cnf
(1) 创建所需要的文件
# touch index.txt
# echo 01 > serial
(2) CA自签证书
(3) 发证
(a) 用到证书的主机生成证书请求;
查看证书中的信息:
(4) 吊销证书
(a) 客户端获取要吊销的证书的serial
(b) CA先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;
(c) 生成吊销证书的编号(第一次吊销一个证书)
# echo 01 > /etc/pki/CA/crlnumber
(d) 更新证书吊销列表
# openssl ca -gencrl -out thisca.crl
查看crl文件:
# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text
(1) 创建所需要的文件
# touch index.txt
# echo 01 > serial
(2) CA自签证书
# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) # openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem -new: 生成新证书签署请求; -x509: 专用于CA生成自签证书; -key: 生成请求时用到的私钥文件; -days n:证书的有效期限; -out /PATH/TO/SOMECERTFILE: 证书的保存路径; Country Name (2 letter code) [XX]:CN //国家名称(2个字母代码)[XX]:CN State or Province Name (full name) []:JS //州或省名(全名)[]:JS Locality Name (eg, city) [Default City]:KS //地点名称(如城市)[默认城市]:KS Organization Name (eg, company) [Default Company Ltd]:test.com // 组织名称(如公司)[Default Company Ltd]:test.com Organizational Unit Name (eg, section) []:ops// 组织单位名称(例如,部分)[]:ops Common Name (eg, your name or your server's hostname) []:CA.test.com // 通用名称(例如,您的姓名或服务器的主机名)[]:CA.test.com Email Address []:admin@ca.test.com // 电子邮件地址[]:admin@ca.test.com
(3) 发证
(a) 用到证书的主机生成证书请求;
#(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048) # openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr Country Name (2 letter code) [XX]:CN // 国家名称(2个字母代码)[XX]:CN State or Province Name (full name) []:JS //州或省名(全名)[]:JS Locality Name (eg, city) [Default City]:KS // 地点名称(如城市)[默认城市]:KS Organization Name (eg, company) [Default Company Ltd]:test.com // 组织名称(如公司)[Default Company Ltd]:test.com Organizational Unit Name (eg, section) []:ops // 组织单位名称(例如,部分)[]:操作 Common Name (eg, your name or your server's hostname) []:nginx.test.com // 通用名称(例如,您的姓名或服务器的主机名)[]:nginx.test.com Email Address []:admin@nginx.test.com // 电子邮件地址[]:admin@nginx.test.com Please enter the following 'extra' attributes // 请输入以下“extra”属性 to be sent with your certificate request // 与您的证书请求一起发送 A challenge password []: // 可选密码[]: An optional company name []: // 可选公司名称[]: Sign the certificate? [y/n]:y // 签证? [y / n]:y (b) 把请求文件传输给CA; (c) CA签署证书,并将证书发还给请求者; # openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看证书中的信息:
#openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial
(4) 吊销证书
(a) 客户端获取要吊销的证书的serial
# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
(b) CA先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;
吊销证书:
# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(c) 生成吊销证书的编号(第一次吊销一个证书)
# echo 01 > /etc/pki/CA/crlnumber
(d) 更新证书吊销列表
# openssl ca -gencrl -out thisca.crl
查看crl文件:
# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text
相关文章推荐
- 加密解密、openssl、私有CA创建过程
- 精心为您准备的Openssl实现私有CA的详细过程,以及如何配置安装证书 推荐
- openssl建立私有CA的过程
- Openssl、加密、解密和私有CA的实现过程 推荐
- Openssl:构建CA的过程并实现web服务基于https访问的网络架构
- 如何通过Openssl实现私有CA,并为HTTP服务提供TLS/SLL安全机制
- openssl 创建ca&生成证书
- 互联网通信以及用openssl创建私有CA
- openssl下生成建立CA并生成服务器和客户端证书方法
- 加密、解密、openssl的基本应用以及CA的实现过程
- OpenSSL中服务端和客户端加密通信中密钥生成过程
- 用Openssl建立私有CA并颁发证书
- 加密、解密、openssl的基本应用及CA的实现过程
- 使用Openssl生成CA及签发证书方法
- openssl 生成证书 ca.pem client.pem server.pem
- 图解openssl实现私有CA 推荐
- Openssl:构建CA的过程并实现web服务基于https访问的网络架构
- Openssl使用生成CA总结
- 使用OpenSSL建立根CA及自签名证书制作过程 [转载]
- 原来win+apache实现ssl的证书认证如此简单 +使用openssl来生成CA证书、申请证书、颁发证书以及撤销证书的过程