关于 建立私有CA和申请证书

                           建立私有CA和申请证书                         

CA和证书
     PKI: Public Key Infrastructure
签证机构:CA(Certificate
Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
   
   
X.509:定义了证书的结构以及认证协议标准
版本号
序列号
签名算法
颁发者
有效期限
主体名称
主体公钥
CRL分发点
扩展信息
发行者签名   

       
证书获取
证书类型:
        证书授权机构的证书
        服务器
       
用户证书
获取证书两种方法:
                使用证书授权机构
                   
生成签名请求(csr)
                    将csr发送给CA
                   
从CA处接收签名
                自签名的证书
                   
自己签发自己的公钥
创建CA和申请证书
创建私有CA:
           openssl的配置文件:
/etc/pki/tls/openssl.cnf
           [root@Compro 7 ~]# vim
/etc/pki/tls/openssl.cnf
   (1) 创建所需要的文件
       [root@Compro 7 ~]# touch
/etc/pki/CA/index.txt    创建CA存放数据的文档
       [root@Compro 7 ~]# echo 01 >
/etc/pki/CA/serial   索引编号生成版本号到一个文件
       [root@Compro 7 ~]# cat
/etc/pki/CA/serial     
       01
   (2) CA自签证书
       生成私钥
  
[root@Compro 7 ~]# cd /etc/pki/CA/
   [root@Compro 7 CA]# ls
   certs 
crl  index.txt  newcerts  private  serial
   [root@Compro 7 CA]# (umask
066;openssl genrsa -out private/cakey.pem 2048)        
   [root@Compro 7
CA]# cd private/
   [root@Compro 7 private]# ls
   cakey.pem
  
[root@Compro 7 private]# cat cakey.pem
       
生成自签名证书 :
      格式语法

                opensslreq-new -x509 –key
               
/etc/pki/CA/private/cakey.pem-days 7300
                -out
/etc/pki/CA/cacert.pem
                -new: 生成新证书签署请求
               
-x509: 专用于CA生成自签证书
                -key: 生成请求时用到的私钥文件
               
-days n:证书的有效期限
                -out /PATH/TO/SOMECERTFILE:
证书的保存路径
 
                [root@Compro 7 private]# openssl req -new -x509
-key cakey.pem -days 7300 -out ../cacert.pem    命令

                Country Name (2 letter code) [XX]:CN                   
国家
                State or Province Name (full name) []:beijing        
城市
                Locality Name (eg, city) [Default City]:haidian      
地区
                Organization Name (eg, company) [Default Company
Ltd]:xiaomag.com   公司
                Organizational Unit Name (eg, section)
[]:FBI        部门
                Common Name (eg, your name or your server's
hostname) []:centos7  指定给谁用
                Email Address
[]:xiaomag@xiaomag.com             邮箱
   (3) 颁发证书:
       (a)
在需要使用证书的主机生成证书请求;  这时候换到另一台机器上面做,比如我使用CentOS6
        给web服务器生成私钥 格式语法:
(umask066; opensslgenrsa-out /etc/httpd/ssl/httpd.key2048)
       
[root@Compro ~]# (umask 066;openssl genrsa -out /etc/pki/tls/private/httpd.key
2048)
        [root@Compro ~]# cd /etc/pki/tls/private/
       
[root@Compro private]# ls
        httpd.key
    生成证书申请文件 opensslreq-new
-key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
       
[root@Compro private]# openssl req -new -key httpd.key -days 365 -out
httpd.csr
        Country Name (2 letter code) [XX]:CN                 
国家
        State or Province Name (full name) []:beijing       城市
       
Locality Name (eg, city) [Default City]:haidian     地区
        Organization
Name (eg, company) [Default Company Ltd]:xiaomag.com  公司
       
Organizational Unit Name (eg, section) []:FBI      部门
        Common Name
(eg, your name or your server's hostname) []:www.xiaomag.com  指定给谁用
       
Email Address []:xiaomag@xiaomag.com           邮箱
       (b)
将证书请求文件传输给CA
        [root@Compro private]# scp httpd.csr
10.1.7.65:/etc/pki/CA/    传输给7 上面的CA
       (c) CA签署证书,并将证书颁发给请求者;opensslca
-in /tmp/httpd.csr–out /etc/pki/CA/certs/httpd.crt -days 365
       
[root@Compro 7 CA]# openssl ca -in httpd.csr -out certs/httpd.csr
      
注意:默认国家,省,公司名称必须和CA一致
       (d) 查看证书中的信息:
        格式语法:opensslx509 -in
/PATH/FROM/CERT_FILE -noout -text|subject|serial|dates
       [root@Compro 7
CA]# openssl x509 -in cacert.pem -noout -text
       
Certificate:
                    Data:
        Version: 3 (0x2)
       
Serial Number: 11582417720897023278 (0xa0bd038d0641ad2e)
     Signature
Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=beijing,
L=haidian, O=xiaomag.com, OU=FBI,
CN=centos7/emailAddress=xiaomage.com
        Validity
            Not
Before: Sep 23 06:45:30 2016 GMT
            Not After : Sep 18 06:45:30 2036
GMT
        Subject: C=CN, ST=beijing, L=haidian, O=xiaomag.com, OU=FBI,
CN=centos7/emailAddress=xiaomage.com

   (4) 吊销证书
       (a) 在客户端获取要吊销的证书的serial opensslx509 -in
/PATH/FROM/CERT_FILE-noout -serial -subject
       (b)
在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致
       吊销证书:opensslca
-revoke /etc/pki/CA/newcerts/SERIAL.pem
       [root@Compro 7 ~]# openssl ca
-revoke /etc/pki/CA/certs/httpd.csr
       (c)
生成吊销证书的编号(第一次吊销一个证书时才需要执行)
       [root@Compro 7 ~]# echo 01 >
/etc/pki/CA/crlnumber
       (d) 更新证书吊销列表
       [root@Compro 7 ~]#
opensslca -gencrl -out /etc/pki/CA/crl/ca.crl
       查看crl文件:
      
[root@Compro 7 ~]# openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

原创文章,作者:小马哥,如若转载,请注明出处:http://www.178linux.com/48789

(0)
上一篇 2016-09-23 21:32
下一篇 2016-09-24 10:34

相关推荐

  • 如何成为一名软件架构师

    Daniel Mohl是一名专业的软件工程师/架构师,他的兴趣包括理解各种复杂的编程语言、企业应用架构以及如何搭建业务与技术,他通晓F#、C#、CoffeeScript、JavaScript、Erlang、ASP.NET、MVC、WPF、WCF、Sliverlight、SQL Server等技术。有着多年的软件开发经验。 他经常会被一些有潜力和有前途的程序员…

    Linux干货 2016-03-22
  • Linux用户和组管理整理

    本节介绍Linux用户和组相关的配置文件,用户账号管理、查询用户信息以及切换用户的相关命令,将会让我们更了解各配置文件中各个字段的含义,以及各相关命令的使用方法,方便Linux运维人员管理Linux系统中的用户和组。 背景: Linux是个多用户、多任务的系统,考虑到每个人的隐私权、每个人喜好的工作环境以及每个用户所使用的权限等方面的不同,所以设定了“用户”…

    Linux干货 2015-06-15
  • linux 病毒 sfewfesfs

    由于昨天在内网服务器A不小心rm -fr / ,导致服务器A完蛋,重装系统后,不知道啥原因,局域网瘫痪不能上网,最后发现内网服务器A的一个进程sfewfesfs cpu 300%。路由器被网络阻塞啦。 于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒) 1、病毒现象 服务器不停向外网发送数据包,占网…

    Linux干货 2015-04-03
  • N26_第一周作业

    一、描述计算机的组成及其功能。 计算机系统:是由硬件(Hardware)系统和软件(Software)系统两大部分构成。 1、硬件系统: 1)控制器(Control):是整个计算机的中枢神经,其功能是对程序规定的控制信息进行解释,根据其要求进行控制,调度程序、数据、地址,协调计算机各部分工作及内存与外设的访问等。2)运算器(Datapath):运算器的功能是…

    2017-02-20
  • Linux手动编译源代码文件

    一、简介     Linux系统上程序包安装的方式多种多样,一般来说可通过rpm包安装、yum在线安装等方式实现。但有时候为了实现某种功能,而这种功能在通常情况下又不是太常用或是因为其他原因,不能通过yum下载安装或在网上没有找到rpm包,只是找到了程序安装包的源代码的话,这种情况下我们就可以对源代码直接进行编译安装,以便解决这种临时需求…

    Linux干货 2015-09-26
  • 重构-改善既有代码的设计:重构原则(二)

    1.什么是重构 重构(Refactoring):在不改变软件的功能和外部可见性的情况下,为了改善软件的结构,提高清晰性、可扩展性和可重用性而对软件进行的改造,对代码内部的结构进行优化。 2.为何重构   1)改进软件设计(整理代码) 重构和设计是相辅相成的,它和设计彼此互补。有了重构,你仍然必须做预先的设计,但是不必是最优的设计,只需要一个合理的解…

    Linux干货 2015-04-07

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-26 12:02

    自建CA一般而言用于内部测试常用,文章对CA主机的创建和证书颁发都有了一个完整的讲解,但是,整体的文章架构上是不是需要优化一下,层次感太弱了哦。