创建私有CA

 

什么是CA

  CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。

搭建私有CA

一、搭建CA服务器

1、生成密钥

ca.png

  • ( ):表示此命令在子进程中运行,其目的是为了不改变当前Shell中的umask值

  • genrsa:生成私钥

  • -out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致

  • 4096:密钥长度,默认为1024

2、生成自签证书

ca1.png

  • req:生成证书签署请求

  • -new:生成新证书签署请求

  • -x509:生成自签格式证书,专用于创建私有CA时

  • -key:生成请求时用到的使用文件路径

  • -out:生成的请求文件路径,如果自签操作将直接生成签署过的证书

  • -days:证书的有效时长,单位是day

3、为CA提供所需的目录及文件

    ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

    ~]# touch /etc/pki/CA/{serial,index.txt}

    ~]# echo 01 > /etc/pki/CA/serial
  • index.txt:索引文件,用于匹配证书编号

  • serial:证书序列号文件,只在首次生成证书时赋值

二、节点向CA请求签署证书

1、用到证书的主机生成私钥

ca2.png

2、生成证书签署请求

ca3.png

3、将请求通过可靠方式发送给CA主机

ca4.png

三、签署证书

1、在CA服务器上签署证书

ca5.png

2、发送给请求者

ca6.png

四、吊销证书

(一)、节点请求吊销
1、客户端获取要吊销的证书的serial(在使用证书的主机执行)

ca7.png

  • x509:证书格式

  • -in:要吊销的证书

  • -noout:不输出额外信息

  • -serial:显示序列号

  • -subject:显示subject信息

(二)、CA验证信息
1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致

ca8.png

2、吊销证书

ca9.png

  • -revoke:删除证书

3、生成吊销证书的吊销编号(第一次吊销证书时执行)

aa.png

4、更新吊销证书列表

ca10.png

  • -gencrl:生成证书吊销列表

5、查看crl文件

ca11.png

  • -text:以文本形式显示

 

原创文章,作者:641348038@qq.com,如若转载,请注明出处:http://www.178linux.com/67722

(0)
上一篇 2017-02-07 00:53
下一篇 2017-02-07 12:21

相关推荐

  • find命令

          find:实时查找工具,根据我们指定的内容或者条件在系统上进行实时查找,比locate在实际场景中用的多得多的多      具体用法:find   查找路径      查找条件         &n…

    Linux干货 2017-04-10
  • 文本处理工具sed习题

    1、删除/etc/grub2.cfg文件中所有以空白开头的行行首空白字符 [root@wzc date]# sed -n 's/^[[:space:]]\+//p' /etc/grub2.cfg load_env set default="${next_entry}&q…

    Linux干货 2016-08-12
  • shell脚本一键安装二进制Apache

    安装背景:用的一台最小化安装的centos6。 编译安装安装的必备安装gcc,gcc-c++ 安装包arp,arp-util以及pcre的压缩包已经传到七牛,没有通过官网下载。太慢。 apache是通过官网下载的,所以下载比较慢,需要的话更改下地址 不足,只按照正常流程写,未做任何异常判断处理 #/bin/bash #一键安装Apache #安装GCC ec…

    Linux干货 2016-07-10
  • Mariadb数据库复制系列(一):主从复制

      实验一:MySQL主从复制的实现 1、实验环境 确保各节点之间的时间同步 2、修改主节点的mysql服务配置文件,让其符合主从架构中主节点的要求 3、查看主节点现有数据情况和二进制日志使用情况 4、对主节点的数据利用xtrabackup进行完全备份 由于两个从节点是后期加入,故采取备份主节点的数据,还原到从节点上,然后让从节点从备份时刻的二进制日志的位置…

    2016-11-24
  • Linux简单命令

    cal 日历 bc  计算器     obase=2 输出为二进制       ibase=2输入为二进制      \onnn八进制      \xHH十六进制 $()识别命令和变量,同反向单引号 , 可在命令调用另一个命令的执行结果时用 字体颜色:红色-打包文件(压缩包),绿色-可执行,浅蓝-软连接,蓝色-目录 echo $SHELL查看当前shell …

    Linux干货 2018-03-18
  • pxe自动安装linux

    配置自动安装操作系统 1.网卡应支持pxe技术,由网卡作为dhcp的客户端向dhcp服务器请求一个IP地址,dhcp会将ip,网关等信息和的tftp服务器的地址应加载的文件名提供给客户端 2.根据dhcp服务器提供的信息网卡上内置的tftp客户端向tftp服务器发出请求,将文件下载至内存,包括bootloader(可能有选单),initrd,内核等(内核和i…

    Linux干货 2016-11-11

评论列表(1条)

  • luoweiro
    luoweiro 2017-02-23 07:26

    步骤详细,如果有关于加密相关的原理介绍会更好,加油。