創建私有CA和申請證書流程

征(_少 ? ? Linux干貨

創建私有CA和申請證書流程

由于很多時候做實驗需要用到證書,就需要自己搭建一個私有CA來給自己頒發證書。同時通過整理創建CA和申請證書、吊銷證書的過程加深自己的理解.

PKI:Publilc Key Infrastructure

公鑰基礎設施:

    簽證機構:CA

    注冊機構:RA

    證書吊銷列表:CRL

    證書存取庫

創建私有CA所需工具:

    openCA 、openssl

證書申請及簽署步驟:

1、生成申請請求

2、RA核驗

3、CA簽署

4、獲取證書

創建私有CA:

   openssl的配置文件:/etc/pki/tls/openssl.cnf

blob.png

 

    openssl.cnf配置文件由許多節(section)組成,這些節指定了一系列由openssl命令使用的默認值。

一、 創建所需要的文件。

]#touch /etc/pki/CA/index.txt

]#echo 01 >/etc/pki/CA/serialblob.png

二、CA自簽證書

   1、生成私鑰

     ]#cd /etc/pki/CA/

]#(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

blob.png

2、生成自簽名證書

]#openssl req –new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem

-new:生成新證書簽署請求。

-x509:專用于CA生成自簽證書。

-key:生成請求時用到的私鑰文件。

-out /PATH/TO/SOME_CERT_FILE:證書的保存位置。

blob.png

三、頒發證書

1、在需要使用證書的主機生成證書請求

例如:給web服務器生成私鑰

(umask 066;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

blob.png

注意:存放密鑰的目錄要事先存在

2、生成證書申請文件.

]#openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

blob.png

3、將證書請求文件傳輸給CA(也就是自簽證書的那臺機器)

blob.png

4、CA簽署證書,并將證書頒發給請求者.

]#openssl ca -in /httpd.csr -out /etc/pki/CA/certs/httpd.crt

blob.png

注意:默認國家、省公司名稱必須和CA一致

5、查看證書中的信息

]# openssl x509 –in /PATH/FROM/CERT_FILE –noout –text|subject|serial|dates

四、吊銷證書

   1、在客戶端獲取要吊銷的證書的serial.

    ]#openssl x509 -in /tmp/httpd.crt -noout -serial -subject

blob.png

   2、在CA上,根據客戶提交的aerial與subject信息,對比檢驗是否與index.txt文件中的

    信息一致。

     吊銷證書:

    ]#openssl ca -revoke /etc/pki/CA/newcerts/01.pem

blob.png

    3、生成吊銷證書的編號(第一次吊銷一個證書時才需要執行)

    echo 01 > /etc/pki/CA/crnumber

    4、更新證書吊銷列表

    openssl ca -gencrl -out /etc/pki/CA/crl/ca.crl

blob.png

    查看crl文件:

    ]# openssl crl -in /etc/pki/CA/crl/ca.crl  -noout -text

blob.png

總結:通過此次整理,將私有CA的創建,證書的頒發,證書的吊銷,證書吊銷列表的更新等操作讓我更進一步了解熟悉整個流程,也希望能給其他人一些幫助!

 

原創文章,作者:征(_少,如若轉載,請注明出處:http://www.www58058.com/61925

(0)
征(_少征(_少
上一篇 2016-12-01 22:16
下一篇 2016-12-02 01:04

相關推薦

  • Linux pxe服務

                     Linux pxe服務 pex工作過程:   客戶機從自己的pxe網卡啟動,向本網絡中的DHCP服務器請求IP地址及子網掩碼,此時DHCP服務器返回分給客戶機的IP地址和子網掩碼,并告知客戶機bootstrap文件的…

    系統運維 2016-11-18

  • ?Linux基礎知識之screen命令詳解

    該博文以CentOS6.8_x86_64系統為基礎,Xshell5遠程登錄CentOS6.8系統,以root身份登錄系統,以Xshell5發起screen幫助,用系統命令行界面去連接。 screen命令:         打開新的screen: screen -S [SESSION]   (打開一個名叫hel…

    Linux干貨 2016-07-29

  • Linux系統初始化流程:系統初始化相關基礎知識

    Linux系統初始化流程:系統初始化相關基礎知識 內核簡介 內核的功能 進程管理:通過task_struct, scheduler 實現 內存管理 I/O管理:中斷以及中斷處理 文件系統管理:ext3,ext4,xfs 等 驅動程序 安全相關:SELinux,各種加密庫 通用軟件,平臺相關軟件 內核設計流派 單內核:單一體系結構 linux 為單一內核 模塊…

    2015-02-28

  • Http實踐

    練習:搭建虛擬主機     (1)基于主機名實現三個虛擬主機     (2) 每虛擬主機使用獨立的訪問日志和錯誤日志     (3) 第三個虛擬主機的/admin要進行用戶訪問認證     (4) 在…

    Linux干貨 2016-09-30

  • 網絡配置——IP劃分網絡基礎

    Linux網絡屬性配置: 計算機網絡: TCP/IP:協議棧         ISO,OSI:協議棧學習 MAC:Media Access Control          48bits: &nbsp…

    Linux干貨 2016-09-07

  • 軟raid實現raid5

    現在Linux系統有磁盤情況如下 現在從sda,sdb,sdc,sdd 分區取出10G 的空間做raid5. 第一步:建立分區 現在執行fdisk ?/dev/sd* 命令分區沖這四個磁盤劃分10G分區 分別是sda6,sdb1,sdc1,sdd1。 具體操作如下: 分區完之后,執行#partx -a /dev/sd* ?讓分區生效。具體效果如下: 分區完成…

    2017-12-06
欧美性久久久久