創建CA、申請證書和吊銷證書詳解

chenxu@magedu.com ? ? Linux干貨

創建CA和申請證書、吊銷證書

搭建工具:openssl

服務端:centos7

客戶端:centos6

配置實驗環境:

需要兩臺虛擬機為服務端、客戶端提供運行環境,裝載openssl工具,添加必要文件;通過查看openssl的配置文件/etc/pki/tls/openssl.cnf(圖一),對比服務端的/etc/pki/CA文件內容(圖二),如果第一次搭建服務的話會缺少部分文件,這樣需要我們手工添加,其中文件index.txt、serial是用于搭建CA,文件crlnumber則是用于吊銷證書用的。

創建CA、申請證書和吊銷證書詳解

(圖一)

創建CA、申請證書和吊銷證書詳解

(圖二)

實驗一,搭建CA服務端(在centos7上):

第一步;創建必要文件,如圖三

touch /etc/pki/CA/index.txt            #創建index.txt

echo 01> /etc/pki/CA/serial            #創建新證書編號為01,往下依次類推,為十六進制

創建CA、申請證書和吊銷證書詳解

(圖三)

第二步;生成私鑰文件,如圖四

cd /etc/pki/CA                        #切換目錄

(umask 066;openssl genrsa –out /etc/pki/CA/private/cakey.pem
1024) #生成1024位的私鑰

 創建CA、申請證書和吊銷證書詳解

(圖四)

也可以通過命令cat / etc/pki/CA/private/cakey.pem來查看是否生成了私鑰。

第三步;生成自簽文件,也就是讓CA給自己頒發證書,注意都是在/etc/pki/CA目錄下的工作,如圖五

openssl req -new -x509 -key
/etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

 創建CA、申請證書和吊銷證書詳解

(圖五)

以文本形式查看自簽證書進行校驗:

openssl x509 -in cacert.pem -noout -text

 創建CA、申請證書和吊銷證書詳解

(圖六)

cacert.pem文件導出放置到Windows界面中查看,注意要更改為.crt的后綴才能查看,受信任前后效果對比為圖七,到此CA服務端搭建完畢。

 創建CA、申請證書和吊銷證書詳解

(圖七)

實驗二,搭建CA客戶端,申請證書(在centios6上):

第一步;創建私鑰文件,如圖八

cd /etc/pki/tls/private/

(umask 066;openssl genrsa -out
/etc/pki/tls/private/test.key)

 創建CA、申請證書和吊銷證書詳解

(圖八)

第二步;生成申請文件(注意:默認國家、省、公司三項必須跟CA一致),如圖九

openssl req -new -key
/etc/pki/tls/private//test.key -out /etc/pki/tls/private/test.csr -days 365

  創建CA、申請證書和吊銷證書詳解

(圖九)

把生成好的申請文件傳至服務端CA,如圖十

 創建CA、申請證書和吊銷證書詳解

(圖十)

第三步;回到服務端(centos7上),頒發證書,如圖十一

openssl ca -in
/etc/pki/CA/test.csr -out /etc/pki/CA/certs/test.crt -days 365

 創建CA、申請證書和吊銷證書詳解

(圖十一)

把證書傳回至客戶端(centos6),如圖十二

scp /etc/pki/CA/certs/test.crt
172.18.24.2:/etc/pki/CA/

 創建CA、申請證書和吊銷證書詳解

(圖十二)

可以把test.crt導出,查看證書效果如圖十三,到此實驗二結束。

 創建CA、申請證書和吊銷證書詳解

(圖十三)

實驗三:吊銷證書,在服務端進行(centos7

第一步;創建必要文件,生成吊銷證書的編號,如圖十四

echo 01
>/etc/pki/CA/crlnumber

 創建CA、申請證書和吊銷證書詳解

(圖十四)

第二步,在客戶端(centos6上)查找要吊銷的證書以確保吊銷正確,如圖十五

openssl x509 -in /etc/pki/CA/test.crt
-noout -serial -subject

創建CA、申請證書和吊銷證書詳解

(圖十五)

第三步;在服務端(centos7上)吊銷證書,如圖十六

 創建CA、申請證書和吊銷證書詳解

(圖十六)

第四步;更新證書吊銷列表,如圖十七

openssl 
ca  -gencrl  -out 
/etc/pki/CA/crl/crl.pem   #注意crl.pemWindows里面需要更改為crl的后綴才能查看

      創建CA、申請證書和吊銷證書詳解

(圖十七)

查看crl文件,如圖十八:

openssl crl -in /etc/pki/CA/crl/crl.pem -noout
-text  #以文本形式查看吊銷證書文件

 創建CA、申請證書和吊銷證書詳解

(圖十八)

原創文章,作者:chenxu@magedu.com,如若轉載,請注明出處:http://www.www58058.com/73187

(0)
chenxu@magedu.comchenxu@magedu.com
上一篇 2017-04-11
下一篇 2017-04-11

相關推薦

  • 系統排錯——如何修復和保護你的系統

    作業 1、破解root口令,并為grub設置保護功能 開機啟動時按e進入grub菜單,然后按a 編輯當前菜單的kernel選項,在后面追加1,s,S,single中的任意一個,然后回車,輸入b鍵啟動 進入了單用戶模式,可以直接修改root密碼 如何為grub設置保護功能: (1)、首先生成grub的md5密碼 (2)、修改grub.conf文件 (3)、重啟…

    Linux干貨 2016-09-12

  • 使用ext_skel和phpize構建php5擴展

    首先聲明:我們要構建的是擴展或者模塊名為hello_module.該模塊提供一個方法:hello_word. 1、php環境的搭建 我們一般使用源碼包編譯安裝,而不是binary包安裝。因為使用PHP的二進制分發包安裝有些冒險,這些版本傾向于忽略./configure的兩個重要選項,它們在開發過程中很便利: 第一個–enable-debug。這個…

    Linux干貨 2015-05-28

  • who,cut,sort,grep,tr,wc,uniq命令管道和重定向綜合應用實例

    linux基礎

    Linux干貨 2017-10-22

  • 關于大型網站技術演進的思考(十四)–網站靜態化處理—前后端分離—上(6)

    原文出處: 夏天的森林  前文講到了CSI技術,這就說明網站靜態化技術的講述已經推進到了瀏覽器端了即真正到了web前端的范疇了,而時下web前端技術的前沿之一就是前后端 分離技術了,那么在這里網站靜態化技術和前后端分離技術產生了交集,所以今天我將討論下前后端分離技術,前后端分離技術討論完后,下一篇文章我將會以網站 靜態化技術的角度回過頭來…

    Linux干貨 2015-02-26

  • RAID,pv,vg,lv的實驗

    首先在虛擬機中添加5塊硬盤,以備實驗使用,此實驗以sdc,sdd,sde,sdf,sdg硬盤為例:     添加硬盤:(不用重新啟動虛擬機讀取新添加磁盤)             ~]# echo “- – -” > /sys/class…

    Linux干貨 2017-03-19

  • 如何自建系統內部 yum 倉庫

       準備:     a.素材:一套centos6.9和一套centos7.3的ISO鏡像光盤     環境:1.centos6.9和centos7.3,安裝好的系統各一套(土豪隨意 )     b.建立前請關閉防火墻,防止防火墻的干擾     &n…

    2017-08-05
欧美性久久久久