CA和证书

xiamu • 2017-09-10 19:10 • Linux干货

A与B双方通信，需要通过签证机构CA颁发证书，才可以互相信任，从而安全的进行数据传输。想要获取证书，除了付费购买认证机构的证书，还可以自签名获取证书。

openssl命令可以搭建CA，实现自签名证书。下面以三台主机为例，模拟根CA、子CA的搭建，以及客户端申请证书的过程。

一、搭建根CA

/etc/pki/tls/openssl.cnf文件是openssl的配置文件，其中规定了CA证书的存放目录、工作目录、证书编号、策略等信息，搭建CA需要以配置文件为参考。

1.创建文件：

a.生成证书索引数据库文件

touch /etc/pki/CA/index.txt

b.指定第一个颁发证书的序列号

echo 01> /etc/pki/CA/serial

2.CA自签证书（第一个CA自己为自己签名）

生成私钥：（umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048）

由于私钥文件很重要，需要设置权限，使其他人无法查看，genrsa代表RSA算法，CA的私钥存放目录是配置文件中规定的，2048代表指定私钥位数。

3.生成自签名证书：

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacer.pem

其中，new表示新证书签署请求；x509表示生成自签名证书；key表示用到的私钥文件；days表示证书有效期；out后面跟证书的保存路径。运行命令行之后，会交互式填写信息，由于配置文件中默认的策略是policy_match，所以CA与客户端申请时填写的国家，省，公司名必须匹配，其他信息像通用名可以不一样，但必须填写。

二、搭建子CA

1.创建文件：

a.生成证书索引数据库文件

touch /etc/pki/CA/index.txt

b.指定第一个颁发证书的序列号

echo 02> /etc/pki/CA/serial

2.生成私钥：

（umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048）

3.生成证书申请文件：

openssl req -new -key /etc/pki/CA/private/cakey.pem -out subca.csr

根据默认策略，所填写的国家，省，公司必须与根CA一致

4.将文件复制到根CA中：

scp subca.csr 192.168.25.129 :/etc/pki/CA (以 192.168.25.129主机为根CA)

5.颁发证书：

openssl ca -in subca.csr -out /etc/pki/CA/certs/subca.crt -days 300

6.将文件传给申请者：

scp certs/subca.crt 192.168.25.6 : /etc/pki/CA/cacert.pem (以192.168.25.6主机为子CA)

这样，子CA就搭建成功了。

三、客户端申请证书

1.生成私钥：

（umask 066;openssl genrsa -out /etc/pki/tls/private/app.key 2048）

2.生成证书申请文件：

openssl req -new -key /etc/pki/tls/private/app.key -out /etc/pki/tls/app.csr

交互式填写国家，州，公司要与子CA信息一致。

3. 将文件复制到子CA中：

scp app.csr 192.168.25.6 : /etc/pki/CA

4.颁发证书：

openssl ca -in app.csr -out /etc/pki/CA/certs/app.crt -days 100

5.将证书文件传送给申请者：

scp certs/app.crt 192.168.25.6 : /etc/pki/tls/certs (以192.168.25.6主机为客户端)

最后，还可以查看证书信息：

openssl x509 -in app.crt -noout -text|issuer|subject|dates

其中，text代表全部信息，issuer代表颁发者，subject代表主题，dates代表有效期

在同一客户端可以为其他程序申请证书，无需再生成私钥，只要重新申请证书即可。默认一个证书申请文件不能颁发两个证书，这与index.txt.attr文件有关，只需将文件中unique_subject的值由yes改为no即可。

当证书过期或者不受信任时，可以吊销证书：

openssl ca -revoke /etc/pki/CA/newcerts/02.pem （以02编号证书为例）

指定第一个吊销证书的编号：

echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表：

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

文件 /etc/pki/CA/crlnumber中存放的则是下一个吊销证书的编号。

至此，CA的搭建以及证书的申请过程就结束了。

本文来自投稿，不代表Linux运维部落立场，如若转载，请注明出处：http://www.178linux.com/86826

赞 (1)

0

上一篇 2017-09-10 18:47

正则表达式与扩展正则表达式

下一篇 2017-09-10 20:16

LVS的四种模型

相关术语： vs:Virtual Server,Director,Dispatcher,Balancer rs:Real Server,upstream server,backend server lvs集群的类型： lvs-nat:修改请求报文的目标IP lvs-dr:操作封装新的MAC地址； lvs-tun：在原请求IP报文之外新加一个IP首部； lvs…

Linux干货 2016-10-30
学习宣言

人所缺乏的不是才干而是志向，不是成功的能力而是勤劳的意志。

Linux干货 2016-10-30
推荐-Linux Namespace的一点理解

下文的原文来自: http://blog.csdn.net/preterhuman_peak/article/details/40857117 原文写的非常好，下文中大部分文字描述来自原文，我仅做了一点理解性的插图和实验部分。 &…

Linux干货 2016-03-28
网络管理之配置文件及一些命令的应用

IP配置、信息、相关命令 IP地址它们可唯一标识 IP 网络中的每台设备每台主机（计算机、网络设备、外围设备）必须具有唯一的地址 IP 地址由两部分组成: &nb…

Linux干货 2016-09-22
Linux发行版的基础目录名称、命名法则及功能规定

Linux发行版的基础目录名称、命名法则及功能规定 / 主层次的根，也是整个文件系统层次结构的根目录 /bin 存放系统的命令。 /boot 存放系统的启动文件，及其内核。 /dev 系统设备文件主目录。 /etc 系统主要配置文件主目录。 /home 普通用户家目录。 /lib 系统库…

Linux干货 2016-10-31
Linux基础命令语法

Linux基础命令语法

Linux干货 2018-03-11