创建CA证书

创建CA证书


CA证书

        CA 也拥有一个证书(内含公钥私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。

        如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。

        如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

        证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。

证书类型:
                    1. 证书授权机构的证书
                    2. 服务器
                    3. 用户证书
获取证书两种方法:

  • 使用证书授权机构
    1. 生成签名请求(csr)
    2. 将csr发送给CA
    3. 从CA处接收签名

  • 自签名的证书
        自已签发自己的公钥

创建私有CA:
        openssl的配置文件:/etc/pki/tls/openssl.cnf
        三种策略:匹配、支持和可选
        匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1. 创建所需要的文件

touch /etc/pki/CA/index.txt
创建文件,生成证书索引数据库文件

2. 指定第一个颁发证书的序列号

echo 01 > /etc/pki/CA/serial
只要是两位数的数字都可以为序列号,你也可以把01换成99,这里我们就写01,方便后续。

3. CA自签证书

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
创建文件,生成私钥,括号是为了让权限临时生效,怕影响以后权限,2048是私钥加密的长度,也可以选择1024、2048、4096....

4. 生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
输入命令后会弹出设置页面,按顺序分为:国家、省、市、公司、单位、域名(服务器名称)、邮箱地址。

-new      生成新证书签署请求
-x509     专用与CA生成自签证书
-key       生成请求时用到的私钥文件
-days n   证书的有效期限
-out /PATH/TO/SOMECERTFILE  证书的保存路径

5. 颁发证书

  •  A 在需要使用证书的主机生成证书请求,在客户端上重复上面第一步。

(1) 创建私钥(另一台电脑或者虚拟机)

(umask 066;openssl genrsa -out /app/service.key)
地址不用服务器那么严格,可自行放入家目录里或者其他目录,只是路径一定要写清楚

(2) 生成证书的申请文件

openssl req -new -key /app/service.key -out /app/service.csr
这个命令输入之后也会出设置页面,按顺序分为:国家、省、市、公司、组织、对外网站(网站名叫什么必须就填什么,比如www.XXXXX.com)、邮箱、密码、可选公司名

注意:国家、省、公司,这3个必须和上面服务器的CA一样。
          邮箱、密码、可选公司名,这3个可以填可以不填。

  • B 将证书请求文件传输给服务器CA

scp /app/service.csr 192.168.XX.XXX:/etc/pki/CA/csr
将证书.csr这个文件传输服务器
scp是一个远程传输文件的小工具。

  • C CA签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 365
颁发证书,由服务器颁发。
注意:刚刚默认设置选项:国家,省,公司名称,这三项一定要和CA一样,刚刚也提醒了,不然就会报错。

  • D 查看证书中的信息

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -text
查看01证书的详细信息

6. 吊销证书

  • A 在客户端或许要吊销的证书的serial

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -serial -subject

  • B 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem
最后01是你要取消的证书编号。如果你是99那就写99.pem就可以了,你想吊销那个证书就填那个。  

cat /etc/pki/CA/index.txt
查看证书失效或者生效
R失效
V生效

  • C 指定第一个吊销证书的编号

echo 01 > /etc/pki/CA/crlnumber
注意:第一次更新证书吊销列表前才需要执行。注意第一次。

  • D 更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
更新吊销列表,将吊销的文件放进去

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem 
更新吊销列表,将吊销的文件放进去

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
查看crl文件

原创文章,作者:Az2h1丶,如若转载,请注明出处:http://www.178linux.com/82521

(1)
Az2h1丶Az2h1丶
上一篇 2017-07-23
下一篇 2017-07-23

相关推荐

  • FHS文件系统共能介绍

    FHS文件系统共能介绍   FHS,即File Hierarchy Standard,文件层级标准。多数Linux系统下的文件管理采用此种文件组织形式,它定义了系统中每个区域的用途、所需要的最小构成的文件和目录,同时还给出了例外处理与矛盾处理。   这中组织是一种倒树状结构,所有的文件与目录都是由根目录”/”开始,然后…

    Linux干货 2016-10-18
  • sed与vim相关练习

    sed 练习 以行为单位的新增/删除功能 1将 /etc/passwd 的内容列出并且打印行号,同时,请将第 2~5 行删除! 2在第二行后(亦即是加在第三行)加上“the is xing line?”字样! 3在第二行前(亦即是加在第而行)加上“the is xing line?”字样! 4在第二行后面加入两行字,例如“the is xing line &…

    Linux干货 2016-08-10
  • Hive深入浅出

    1.  Hive是什么 1) Hive是什么? 这里引用 Hive wiki 上的介绍: Hive is a data warehouse infrastructure built on top of Hadoop. It provides tools to enable easy data ETL, a mechanism to put stru…

    Linux干货 2016-03-22
  • 【招聘福利】三生石/郑州/6-10K

    三生石科技 岗位职责: 1、熟悉Linux系统环境/内核参数/系统调用接口等,对系统、网络和应用的原理等有较深刻的理解; 2、熟悉Linux操作系统的管理部署、配置和调优; 3、熟悉服务器架构部署、负载均衡、CDN等; 4、了解mysql数据库的基本管理技能,有Apache/Tomcat/MySQL等服务的优化配置经验; 5、了解常用系统自动化监控软件的使用…

    Linux干货 2015-11-10
  • Linux程序包管理之RPM

    前言 Linux平台上常见的软件包格式主要有三种,分别是源码格式包、通用二进制格式包和rpm格式包本文主要讲解rpm格式包安装及管理。RPM是Redhat Package Manager的缩写,是由Redhat公司开发的Linux软件包管理具,因其便捷的管理方式与开源思想,逐渐被其他Linux发行商所采用,现已成Linux平台下通用的软件包管理方式。 rpm…

    Linux干货 2015-03-28
  • LNMMP架构实现Web动静分离

    前言 前面的文章中说过LAMP架构包括:Linux操作系统,Apache网站服务器,MySQL数据库,Perl、PHP或者Python编程语言,而今天要说的LNMMP 和LAMP类似,只是作为Web服务器的不再是Apache而是高性能的Nginx,同时引进Memcached加速缓存效率,用于加快访问速度。 Memcached是一款开源、高性能、分布…

    Linux干货 2015-06-15