创建CA证书

创建CA证书


CA证书

        CA 也拥有一个证书(内含公钥私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。

        如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。

        如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

        证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。

证书类型:
                    1. 证书授权机构的证书
                    2. 服务器
                    3. 用户证书
获取证书两种方法:

  • 使用证书授权机构
    1. 生成签名请求(csr)
    2. 将csr发送给CA
    3. 从CA处接收签名

  • 自签名的证书
        自已签发自己的公钥

创建私有CA:
        openssl的配置文件:/etc/pki/tls/openssl.cnf
        三种策略:匹配、支持和可选
        匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1. 创建所需要的文件

touch /etc/pki/CA/index.txt
创建文件,生成证书索引数据库文件

2. 指定第一个颁发证书的序列号

echo 01 > /etc/pki/CA/serial
只要是两位数的数字都可以为序列号,你也可以把01换成99,这里我们就写01,方便后续。

3. CA自签证书

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
创建文件,生成私钥,括号是为了让权限临时生效,怕影响以后权限,2048是私钥加密的长度,也可以选择1024、2048、4096....

4. 生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
输入命令后会弹出设置页面,按顺序分为:国家、省、市、公司、单位、域名(服务器名称)、邮箱地址。

-new      生成新证书签署请求
-x509     专用与CA生成自签证书
-key       生成请求时用到的私钥文件
-days n   证书的有效期限
-out /PATH/TO/SOMECERTFILE  证书的保存路径

5. 颁发证书

  •  A 在需要使用证书的主机生成证书请求,在客户端上重复上面第一步。

(1) 创建私钥(另一台电脑或者虚拟机)

(umask 066;openssl genrsa -out /app/service.key)
地址不用服务器那么严格,可自行放入家目录里或者其他目录,只是路径一定要写清楚

(2) 生成证书的申请文件

openssl req -new -key /app/service.key -out /app/service.csr
这个命令输入之后也会出设置页面,按顺序分为:国家、省、市、公司、组织、对外网站(网站名叫什么必须就填什么,比如www.XXXXX.com)、邮箱、密码、可选公司名

注意:国家、省、公司,这3个必须和上面服务器的CA一样。
          邮箱、密码、可选公司名,这3个可以填可以不填。

  • B 将证书请求文件传输给服务器CA

scp /app/service.csr 192.168.XX.XXX:/etc/pki/CA/csr
将证书.csr这个文件传输服务器
scp是一个远程传输文件的小工具。

  • C CA签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 365
颁发证书,由服务器颁发。
注意:刚刚默认设置选项:国家,省,公司名称,这三项一定要和CA一样,刚刚也提醒了,不然就会报错。

  • D 查看证书中的信息

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -text
查看01证书的详细信息

6. 吊销证书

  • A 在客户端或许要吊销的证书的serial

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -serial -subject

  • B 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem
最后01是你要取消的证书编号。如果你是99那就写99.pem就可以了,你想吊销那个证书就填那个。  

cat /etc/pki/CA/index.txt
查看证书失效或者生效
R失效
V生效

  • C 指定第一个吊销证书的编号

echo 01 > /etc/pki/CA/crlnumber
注意:第一次更新证书吊销列表前才需要执行。注意第一次。

  • D 更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
更新吊销列表,将吊销的文件放进去

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem 
更新吊销列表,将吊销的文件放进去

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
查看crl文件

原创文章,作者:Az2h1丶,如若转载,请注明出处:http://www.178linux.com/82521

(1)
上一篇 2017-07-23 19:54
下一篇 2017-07-23 20:53

相关推荐

  • 高可用集群基本概念与heartbeat文本配置接口

    一、高可用集群基本概念:     什么是高可用集群:          所谓高可用集群,就是在出现故障时,可以把业务自动转移到其他主机上并让服务正常运行的集群构架     高可用集群的构架层…

    Linux干货 2016-01-13
  • 运维工程师技能需求排行

    这是我今天在拉勾网搜索运维,翻完了4四页也招聘信息之后得到的,我的目的是想要看看之后的学习,哪个更应该成为重点,有些在我意料之中,有些还真的没想到,算是努力了一个小时的收获吧,分享给大家。
    注意:其中的看法仅代表个人观点,很多都是依靠我自己的学习经验和工作经验累积的

    Linux干货 2017-12-12
  • N25第一周作业

    1.描述计算机的组成及其功能   计算机整体上分为两大部分:     一、硬件部分:运算器,存储器,控制器,输入设备,输出设备     运算器是对数据进行加工处理,主要是指各种算术运算与逻辑运算     存储器是存储各种数据、信号、命令等信息并在他们需要时提供这些信息 &nbsp…

    Linux干货 2016-12-03
  • vncserver安装配置小结

      安装VNC Server 端:        1. yum install  tigervnc-server         //RHEL6: vnc server的包名          yum &nbs…

    Linux干货 2016-03-09
  • rpm及yum

    库文件 查看二进制程序所依赖的库文件: ldd /PATH/TO/BINARY_FILE [root@localhost ~]# ldd /bin/bash 管理及查看本机装载的库文件: ldconfig /sbin/ldconfig -p:  显示本机已经缓存的所有可用库文件 名及文件路径映射关系 配置文件:/etc/ld.so.conf, /e…

    Linux干货 2016-08-29
  • 文本处理工具sed的使用以及Vim的使用技巧详解

    一、什么是sed     sed的英文全称是Stream EDitor,叫行编辑器。     sed是一种流编辑器,它一次处理一行内容。处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space),接着用sed命令处理缓冲区中的内容…

    Linux干货 2016-08-11