關于 建立私有CA和申請證書

小馬哥 ? ? 系統運維

                           建立私有CA和申請證書                         

CA和證書
     PKI: Public Key Infrastructure
簽證機構:CA(Certificate
Authority)
注冊機構:RA
證書吊銷列表:CRL
證書存取庫:
   
   
X.509:定義了證書的結構以及認證協議標準
版本號
序列號
簽名算法
頒發者
有效期限
主體名稱
主體公鑰
CRL分發點
擴展信息
發行者簽名   

       
證書獲取
證書類型:
        證書授權機構的證書
        服務器
       
用戶證書
獲取證書兩種方法:
                使用證書授權機構
                   
生成簽名請求(csr)
                    將csr發送給CA
                   
從CA處接收簽名
                自簽名的證書
                   
自己簽發自己的公鑰
創建CA和申請證書
創建私有CA:
           openssl的配置文件:
/etc/pki/tls/openssl.cnf
           [root@Compro 7 ~]# vim
/etc/pki/tls/openssl.cnf
   (1) 創建所需要的文件
       [root@Compro 7 ~]# touch
/etc/pki/CA/index.txt    創建CA存放數據的文檔
       [root@Compro 7 ~]# echo 01 >
/etc/pki/CA/serial   索引編號生成版本號到一個文件
       [root@Compro 7 ~]# cat
/etc/pki/CA/serial     
       01
   (2) CA自簽證書
       生成私鑰
  
[root@Compro 7 ~]# cd /etc/pki/CA/
   [root@Compro 7 CA]# ls
   certs 
crl  index.txt  newcerts  private  serial
   [root@Compro 7 CA]# (umask
066;openssl genrsa -out private/cakey.pem 2048)        
   [root@Compro 7
CA]# cd private/
   [root@Compro 7 private]# ls
   cakey.pem
  
[root@Compro 7 private]# cat cakey.pem
       
生成自簽名證書 :
      格式語法

                opensslreq-new -x509 –key
               
/etc/pki/CA/private/cakey.pem-days 7300
                -out
/etc/pki/CA/cacert.pem
                -new: 生成新證書簽署請求
               
-x509: 專用于CA生成自簽證書
                -key: 生成請求時用到的私鑰文件
               
-days n:證書的有效期限
                -out /PATH/TO/SOMECERTFILE:
證書的保存路徑
 
                [root@Compro 7 private]# openssl req -new -x509
-key cakey.pem -days 7300 -out ../cacert.pem    命令

                Country Name (2 letter code) [XX]:CN                   
國家
                State or Province Name (full name) []:beijing        
城市
                Locality Name (eg, city) [Default City]:haidian      
地區
                Organization Name (eg, company) [Default Company
Ltd]:xiaomag.com   公司
                Organizational Unit Name (eg, section)
[]:FBI        部門
                Common Name (eg, your name or your server's
hostname) []:centos7  指定給誰用
                Email Address
[]:xiaomag@xiaomag.com             郵箱
   (3) 頒發證書:
       (a)
在需要使用證書的主機生成證書請求;  這時候換到另一臺機器上面做,比如我使用CentOS6
        給web服務器生成私鑰 格式語法:
(umask066; opensslgenrsa-out /etc/httpd/ssl/httpd.key2048)
       
[root@Compro ~]# (umask 066;openssl genrsa -out /etc/pki/tls/private/httpd.key
2048)
        [root@Compro ~]# cd /etc/pki/tls/private/
       
[root@Compro private]# ls
        httpd.key
    生成證書申請文件 opensslreq-new
-key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
       
[root@Compro private]# openssl req -new -key httpd.key -days 365 -out
httpd.csr
        Country Name (2 letter code) [XX]:CN                 
國家
        State or Province Name (full name) []:beijing       城市
       
Locality Name (eg, city) [Default City]:haidian     地區
        Organization
Name (eg, company) [Default Company Ltd]:xiaomag.com  公司
       
Organizational Unit Name (eg, section) []:FBI      部門
        Common Name
(eg, your name or your server's hostname) []:www.xiaomag.com  指定給誰用
       
Email Address []:xiaomag@xiaomag.com           郵箱
       (b)
將證書請求文件傳輸給CA
        [root@Compro private]# scp httpd.csr
10.1.7.65:/etc/pki/CA/    傳輸給7 上面的CA
       (c) CA簽署證書,并將證書頒發給請求者;opensslca
-in /tmp/httpd.csr–out /etc/pki/CA/certs/httpd.crt -days 365
       
[root@Compro 7 CA]# openssl ca -in httpd.csr -out certs/httpd.csr
      
注意:默認國家,省,公司名稱必須和CA一致
       (d) 查看證書中的信息:
        格式語法:opensslx509 -in
/PATH/FROM/CERT_FILE -noout -text|subject|serial|dates
       [root@Compro 7
CA]# openssl x509 -in cacert.pem -noout -text
       
Certificate:
                    Data:
        Version: 3 (0x2)
       
Serial Number: 11582417720897023278 (0xa0bd038d0641ad2e)
     Signature
Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=beijing,
L=haidian, O=xiaomag.com, OU=FBI,
CN=centos7/emailAddress=xiaomage.com
        Validity
            Not
Before: Sep 23 06:45:30 2016 GMT
            Not After : Sep 18 06:45:30 2036
GMT
        Subject: C=CN, ST=beijing, L=haidian, O=xiaomag.com, OU=FBI,
CN=centos7/emailAddress=xiaomage.com

   (4) 吊銷證書
       (a) 在客戶端獲取要吊銷的證書的serial opensslx509 -in
/PATH/FROM/CERT_FILE-noout -serial -subject
       (b)
在CA上,根據客戶提交的serial與subject信息,對比檢驗是否與index.txt文件中的信息一致
       吊銷證書:opensslca
-revoke /etc/pki/CA/newcerts/SERIAL.pem
       [root@Compro 7 ~]# openssl ca
-revoke /etc/pki/CA/certs/httpd.csr
       (c)
生成吊銷證書的編號(第一次吊銷一個證書時才需要執行)
       [root@Compro 7 ~]# echo 01 >
/etc/pki/CA/crlnumber
       (d) 更新證書吊銷列表
       [root@Compro 7 ~]#
opensslca -gencrl -out /etc/pki/CA/crl/ca.crl
       查看crl文件:
      
[root@Compro 7 ~]# openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

原創文章,作者:小馬哥,如若轉載,請注明出處:http://www.www58058.com/48789

(0)
小馬哥小馬哥
上一篇 2016-09-23
下一篇 2016-09-24

相關推薦

  • 運維監控大數據的提取與分析

    本文內容整理來自【敏捷運維大講堂】蔣君偉老師的線上直播分享。分別從以下3個維度來分享:1、云時代監控分析的窘境;2、使用標簽標記監控數據的維度;3、監控數據應用場景。 云時代監控分析的窘境 在虛擬化與容器技術廣泛應用的情況下,運維對象大規模地增長,監控平臺每天存儲的指標都以億計,所以監控數據如今已經成了大數據。傳統的監控工具在這種場景下,對于數據的提取分析,…

    系統運維 2017-01-09

  • Linux 2.6.39-rc3的一個插曲

    2011年4月12日,Linux 2.6.39-rc3發布了,Linus Torvalds寫了一個發布郵件,其中包含了一個長長的為這個版本做過貢獻的人員名單,這個名單中有很多看上去應該是中國人的名字,我挺為他們感到驕傲的(不知道你是否還記得以前本站的”Linux是由誰寫的“)。 不過,沒過一會,發現了一個bug,經過大家的調查(2.6.38版沒有發現這個問題…

    Linux干貨 2016-06-09

  • grep、egrep、fgrep 正則表達式詳解

    大綱一、grep分類       –1.1基本定義       –1.2常用選項       –1.3不常用選項二、正則表達式       –2.1基本…

    Linux干貨 2015-07-01

  • vim、crontab、bash for循環練習

    1、復制/etc/rc.d/init.d/functions文件至/tmp目錄,將/tmp/functions文件中的以至少一個空白字符開頭的行的行首加#。 vim中支持全文查找替換功能且在查找時支持正則表達式,在替換時進行引用。先使用vim /tmp/functions,然后在vim編輯模式中輸入:%s/\(^[[:space:]]\+\)/#\1/g再回…

    系統運維 2016-12-03

  • linux 系統基礎(三)–用戶和組命令使用總結

    1、列出當前系統上所有已經登錄的用戶名,注意:同一個用戶登錄多次,則只顯示一次即可。 [root@node2 ~]# who   root     pts/0        2016-10-…

    Linux干貨 2016-10-08

  • Linux系統啟動流程與內管管理(上)

    在講linux系統啟動流程之前,來講講linux的組成,這樣能能幫助我們深入了解系統的啟動流程,廢話不多說直接上系統啟動流程圖 linux組成 linux:kernel+rootfs kenrel的作用:進程管理、內存管理、網絡管理、驅動程序、文件系統、安全管理等   rootfs:程序和glibc 庫:函數結合,function,調用接口(頭文件…

    系統運維 2016-09-14

評論列表(1條)

  • 馬哥教育
    馬哥教育 2016-09-26 12:02

    自建CA一般而言用于內部測試常用,文章對CA主機的創建和證書頒發都有了一個完整的講解,但是,整體的文章架構上是不是需要優化一下,層次感太弱了哦。

欧美性久久久久