构建私有CA

构建私有CA

我们采用openssl这个软件来实现

所有首先我们来看下该软件的配置文件

实现环境 centos 7.2

[root@redhat7 ~]# rpm -qc openssl  //可以看到该命令没有任何输出,我们可以思考该软件包还存在其他的支包
[root@redhat7 ~]# rpm -qa | grep "openssl"  //果然我们可以看到存在 libs 支包
openssl-libs-1.0.1e-42.el7.9.x86_64
openssl-1.0.1e-42.el7.9.x86_64
[root@redhat7 ~]# rpm -qc openssl-libs
/etc/pki/tls/openssl.cnf   //终于找到配置文件了

构建私有CA

查看该配置文件

[root@redhat7 ~]# cat /etc/pki/tls/openssl.cnf

//我们主要关注 [ ca ] 段落

构建私有CA

(1)自建CA;需要私钥 //私钥必须在特定的目录下,且必须命名为cakey.pem 配置文件定义的

[root@redhat7 ~]# (umask 077 ; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
(在子shell中执行该命令 umask 077不影响当前shell的umask)
Generating RSA private key, 2048 bit long modulus
....................+++
..................+++
e is 65537 (0x10001)
[root@redhat7 ~]# ll /etc/pki/CA/private/cakey.pem  //生成的私钥文件
-rw-------. 1 root root 1675 Sep 11 16:57 /etc/pki/CA/private/cakey.pem

(2)生成自签证书 //特定目录下的特定文件名 配置文件已经定义的 [root@redhat7 ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 //输出省略

构建私有CA

[root@redhat7 ~]# ll /etc/pki/CA/cacert.pem  //我们的CA证书
-rw-r--r--. 1 root root 1302 Sep 11 17:08 /etc/pki/CA/cacert.pem

(3)为CA提供所需要的目录及文件 //存在则可以忽略

[root@redhat7 ~]# mkdir /etc/pki/CA/{certs,crl,newcerts}
[root@redhat7 ~]# touch /etc/pki/CA/{serial,index.txt}
[root@redhat7 ~]# echo 01 > /etc/pki/CA/serial
[root@redhat7 ~]# tree /etc/pki/CA
/etc/pki/CA
├── cacert.pem
├── certs
├── crl
├── index.txt
├── newcerts
├── private
│   └── cakey.pem
└── serial
4 directories, 4 files

构建私有CA

至此:我们的CA服务器已经配置完成

假设某服务器要用到证书进行安全通信,需要向CA请求签署证书 (此时我们换台centos 6.8 的主机)

我们以httpd服务为例

确保安装有httpd服务

[root@centos6 ~]# mkdir /etc/httpd/ssl

(1)生成私钥

[root@centos6 ~]# (umask 077 ; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
...........................................................................+++
.............................................................+++
e is 65537 (0x10001)
[root@centos6 ~]# ll /etc/httpd/ssl/httpd.key 
-rw-------. 1 root root 1679 Sep  7 02:55 /etc/httpd/ssl/httpd.key

(2)生成证书签署请求

[root@centos6 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

构建私有CA

此处要和图三信息一样 否则可能会签署失败 (由于是自建的私有CA)

(3)将请求通过可靠方式发送给CA主机

这里我们通过SCP命令来实现

[root@centos6 ~]# scp /etc/httpd/ssl/httpd.csr  root@10.1.0.111:/tmp //将本地的httpd.csr文件复制一份到10.1.0.111主机的/tmp目录下

这里我们切换到CA服务器 即 centos 7 上

在CA主机上签署证书

[root@redhat7 ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365


httpd.crt 即为 centos6 上的 httpd 的证书

构建私有CA 查看证书中的信息:

[root@redhat7 ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
serial=01
subject= /C=CN/ST=Beijing/O=Sxj/OU=Si/CN=asher.com

同时数据块中也有相应的记录

[root@redhat7 ~]# cat /etc/pki/CA/index.txt
V   170911110034Z       01  unknown /C=CN/ST=Beijing/O=Sxj/OU=Si/CN=asher.com

原创文章,作者:sixijie,如若转载,请注明出处:http://www.178linux.com/49646

(0)
上一篇 2016-09-28 15:20
下一篇 2016-09-28 21:00

相关推荐

  • 关于find命令的实际应用

    1、查找/var目录下属主为root,且属组为mail的所有文件 2、查找/var目录下不属于root、lp、gdm的所有文件 3、查找/var目录下最近一周内其内容修改过,同时属主不为root,也不是postfix的文件 4、查找当前系统上没有属主或属组,且最近一个周内曾被访问过的文件 5、查找/etc目录下大于1M且类型为普通文件的所有文件 6、查找/e…

    Linux干货 2016-08-16
  • N25-第三周作业

    1.列出当前系统所有已经登录的用户的用户名,注意同一个用户登录多次,只显示一次即可   who | cut -d" " -f1 |uniq 2.取出最后登录到当前系统的用户的相关信息    w | tail -1 3.取出当前系统上被用户当做其默认shell最多的那个shell &nbsp…

    Linux干货 2016-12-19
  • 8-2 用户组和权限管理

    用户组和权限管理     本节主要是:su、passwd、chage、chown、chgrp、chmod、umask等命令及文件的三种普通权限和三种特殊权限     切换用户或以其他用户身份执行命令:su su [options…] [-] [user[args…]] 切换用…

    Linux干货 2016-08-07
  • N26_第一周

    计算机组成     CPU:核心部件:                 运算器: 对数据进行算术运算和逻辑运算     …

    Linux干货 2017-01-11
  • ls 命令浅谈

           LS命令是Linux中最常用的命令,ls是list的缩写,通过ls命令不仅可以查看Linux文件夹包含的文件,而且可以查看文件权限(包括目录、文件夹、文件权限),查看目录信息等等。ls命令在日常的Linux操作中用的很多。(这里只是介绍了一部分)       命令格式:ls …

    2017-07-15
  • 文件查找

        Linux上的所有资源都以文件的形式存在,如果是手工查找的话,势必会浪费太多的时间,这里推荐俩款大家用于查找的工具。 文件查找    文件查找经常用到的俩款软件,locate和find    二者区别 locate:1) 非实时查找;    &nbsp…

    Linux干货 2016-08-18