创建CA证书

创建CA证书


CA证书

        CA 也拥有一个证书(内含公钥私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。

        如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。

        如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

        证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。

证书类型:
                    1. 证书授权机构的证书
                    2. 服务器
                    3. 用户证书
获取证书两种方法:

  • 使用证书授权机构
    1. 生成签名请求(csr)
    2. 将csr发送给CA
    3. 从CA处接收签名

  • 自签名的证书
        自已签发自己的公钥

创建私有CA:
        openssl的配置文件:/etc/pki/tls/openssl.cnf
        三种策略:匹配、支持和可选
        匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1. 创建所需要的文件

touch /etc/pki/CA/index.txt
创建文件,生成证书索引数据库文件

2. 指定第一个颁发证书的序列号

echo 01 > /etc/pki/CA/serial
只要是两位数的数字都可以为序列号,你也可以把01换成99,这里我们就写01,方便后续。

3. CA自签证书

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
创建文件,生成私钥,括号是为了让权限临时生效,怕影响以后权限,2048是私钥加密的长度,也可以选择1024、2048、4096....

4. 生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
输入命令后会弹出设置页面,按顺序分为:国家、省、市、公司、单位、域名(服务器名称)、邮箱地址。

-new      生成新证书签署请求
-x509     专用与CA生成自签证书
-key       生成请求时用到的私钥文件
-days n   证书的有效期限
-out /PATH/TO/SOMECERTFILE  证书的保存路径

5. 颁发证书

  •  A 在需要使用证书的主机生成证书请求,在客户端上重复上面第一步。

(1) 创建私钥(另一台电脑或者虚拟机)

(umask 066;openssl genrsa -out /app/service.key)
地址不用服务器那么严格,可自行放入家目录里或者其他目录,只是路径一定要写清楚

(2) 生成证书的申请文件

openssl req -new -key /app/service.key -out /app/service.csr
这个命令输入之后也会出设置页面,按顺序分为:国家、省、市、公司、组织、对外网站(网站名叫什么必须就填什么,比如www.XXXXX.com)、邮箱、密码、可选公司名

注意:国家、省、公司,这3个必须和上面服务器的CA一样。
          邮箱、密码、可选公司名,这3个可以填可以不填。

  • B 将证书请求文件传输给服务器CA

scp /app/service.csr 192.168.XX.XXX:/etc/pki/CA/csr
将证书.csr这个文件传输服务器
scp是一个远程传输文件的小工具。

  • C CA签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 365
颁发证书,由服务器颁发。
注意:刚刚默认设置选项:国家,省,公司名称,这三项一定要和CA一样,刚刚也提醒了,不然就会报错。

  • D 查看证书中的信息

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -text
查看01证书的详细信息

6. 吊销证书

  • A 在客户端或许要吊销的证书的serial

openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -serial -subject

  • B 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem
最后01是你要取消的证书编号。如果你是99那就写99.pem就可以了,你想吊销那个证书就填那个。  

cat /etc/pki/CA/index.txt
查看证书失效或者生效
R失效
V生效

  • C 指定第一个吊销证书的编号

echo 01 > /etc/pki/CA/crlnumber
注意:第一次更新证书吊销列表前才需要执行。注意第一次。

  • D 更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
更新吊销列表,将吊销的文件放进去

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem 
更新吊销列表,将吊销的文件放进去

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
查看crl文件

原创文章,作者:Az2h1丶,如若转载,请注明出处:http://www.178linux.com/82521

(1)
上一篇 2017-07-23 19:54
下一篇 2017-07-23 20:53

相关推荐

  • 马哥教育网络班22期+第3周课程练习

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登陆多次,则只显示一次即可。     who | cut -d' ' -f1 | sort -u 2、取出最后登录到当前系统的用户的相关信息。     who | sort -t' ' -k4 | …

    Linux干货 2016-08-29
  • 马哥教育网络班21期-第六周课程练习

    请详细总结vim编辑器的使用并完成以下练习题 vim编辑器的使用 vim模式:  a,编辑/命令模式;  b,insert/输入模式  c,末行模式 打开文件:  vim    [option]…    file…  +#:打开文件后,直接让光标…

    Linux干货 2016-08-22
  • 任务计划2

    [root@localhost app]# cat /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin:/root/bin MAILTO=root   # For details see man 4 crontabs   # Example of job defi…

    Linux干货 2017-05-15
  • 非常不错的编程技术教程

    下面是一些非常不错的编程教程,当然,全是英文版的。不过因为是新手教程,所以非常容易阅读,可以在学习技术的同时加强一下自己的英语阅读能力。 如果你是一个新手,建议你把本页设为你的收藏夹。C Introduction to C Programming C Optimization Tutorial Compiling C and C…

    Linux干货 2016-05-10
  • shell编程中的三种流程控制

    流程控制 v 一 、过程式编程语言: 1.顺序执行 2.选择执行 3.循环执行  条件选择if 语句   选择执行:   注意: :if 语句可 嵌套    单分支 if 判断条件;then 条件为真的分支代码 fi    双分支 if 判断条件; then …

    Linux干货 2016-08-21
  • 用户组和权限管理

    一、3A认证     Authentication:认证     Autherization:授权     Accoutiong|Audition:审计 二、用户user      linu…

    Linux干货 2016-08-04