搭建私有CA服务器

   CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。下面来看一下自建CA的过程

   一、建立CA服务器

     1、生成密钥

1.jpg

     ():表示此命令在子进程中运行,其目的是为了不改变当前Shell中的umask值;

      genrsa:生成私钥;

      -out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致;

      2048:密钥长度,默认为1024。

     2、自签证书

2.jpg

     req:生成证书签署请求;

     -x509:生成自签署证书;

     -days n:证书的有效天数;

     -new:新请求;

     -key /path/to/keyfile:指定私钥文件;

     -out /path/to/somefile:输出文件位置。

     3、初始化工作环境 

3.jpg

3.1.jpg

     index.txt:索引文件,用于匹配证书编号;

     serial:证书序列号文件,只在首次生成证书时赋值。

   二、节点申请证书

     1、生成密钥对

4.jpg

5.jpg

     2、生成证书请求

     修改默认信息,以简化输入,使用各节点信息一致。

6.jpg

7.jpg

8.jpg

     3、把签署请求文件发送给CA服务器

9.jpg

   三、签署证书

     1、在CA服务器上签署证书

10.jpg

     2、发送给请求者

11.jpg

   三.吊销证书

   (一)节点请求吊销

     1、获取证书serial

吊1.jpg

     x509:证书格式;

     -in:要吊销的证书;

     -noout:不输出额外信息;

     -serial:显示序列号;

     -subject:显示subject信息。

   (二) CA验证信息

     1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致

吊2.jpg

     2、吊销证书

吊3.jpg

      -revoke:删除证书。

      查看被吊销的证书列表

吊7.jpg

     3、生成吊销证书的编号(如果是第一次吊销)

吊4.jpg

     4、更新证书吊销列表

吊5.jpg

     -gencrl:生成证书吊销列表;

     5、查看crl文件内容

吊6.jpg

     -text:以文本形式显示。

原创文章,作者:petmaster,如若转载,请注明出处:http://www.178linux.com/12742