創建CA、申請證書和吊銷證書詳解

chenxu@magedu.com ? ? Linux干貨

創建CA和申請證書、吊銷證書

搭建工具:openssl

服務端:centos7

客戶端:centos6

配置實驗環境:

需要兩臺虛擬機為服務端、客戶端提供運行環境,裝載openssl工具,添加必要文件;通過查看openssl的配置文件/etc/pki/tls/openssl.cnf(圖一),對比服務端的/etc/pki/CA文件內容(圖二),如果第一次搭建服務的話會缺少部分文件,這樣需要我們手工添加,其中文件index.txtserial是用于搭建CA,文件crlnumber則是用于吊銷證書用的。

創建CA、申請證書和吊銷證書詳解

(圖一)

創建CA、申請證書和吊銷證書詳解

(圖二)

實驗一,搭建CA服務端(在centos7上):

第一步;創建必要文件,如圖三

touch /etc/pki/CA/index.txt            #創建index.txt

echo 01> /etc/pki/CA/serial            #創建新證書編號為01,往下依次類推,為十六進制

創建CA、申請證書和吊銷證書詳解

(圖三)

第二步;生成私鑰文件,如圖四

cd /etc/pki/CA                        #切換目錄

(umask 066;openssl genrsa –out /etc/pki/CA/private/cakey.pem
1024) #生成1024位的私鑰

 創建CA、申請證書和吊銷證書詳解

(圖四)

也可以通過命令cat / etc/pki/CA/private/cakey.pem來查看是否生成了私鑰。

第三步;生成自簽文件,也就是讓CA給自己頒發證書,注意都是在/etc/pki/CA目錄下的工作,如圖五

openssl req -new -x509 -key
/etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

 創建CA、申請證書和吊銷證書詳解

(圖五)

以文本形式查看自簽證書進行校驗:

openssl x509 -in cacert.pem -noout -text

 創建CA、申請證書和吊銷證書詳解

(圖六)

cacert.pem文件導出放置到Windows界面中查看,注意要更改為.crt的后綴才能查看,受信任前后效果對比為圖七,到此CA服務端搭建完畢。

 創建CA、申請證書和吊銷證書詳解

(圖七)

實驗二,搭建CA客戶端,申請證書(在centios6上):

第一步;創建私鑰文件,如圖八

cd /etc/pki/tls/private/

(umask 066;openssl genrsa -out
/etc/pki/tls/private/test.key)

 創建CA、申請證書和吊銷證書詳解

(圖八)

第二步;生成申請文件(注意:默認國家、省、公司三項必須跟CA一致),如圖九

openssl req -new -key
/etc/pki/tls/private//test.key -out /etc/pki/tls/private/test.csr -days 365

  創建CA、申請證書和吊銷證書詳解

(圖九)

把生成好的申請文件傳至服務端CA,如圖十

 創建CA、申請證書和吊銷證書詳解

(圖十)

第三步;回到服務端(centos7上),頒發證書,如圖十一

openssl ca -in
/etc/pki/CA/test.csr -out /etc/pki/CA/certs/test.crt -days 365

 創建CA、申請證書和吊銷證書詳解

(圖十一)

把證書傳回至客戶端(centos6),如圖十二

scp /etc/pki/CA/certs/test.crt
172.18.24.2:/etc/pki/CA/

 創建CA、申請證書和吊銷證書詳解

(圖十二)

可以把test.crt導出,查看證書效果如圖十三,到此實驗二結束。

 創建CA、申請證書和吊銷證書詳解

(圖十三)

實驗三:吊銷證書,在服務端進行(centos7

第一步;創建必要文件,生成吊銷證書的編號,如圖十四

echo 01
>/etc/pki/CA/crlnumber

 創建CA、申請證書和吊銷證書詳解

(圖十四)

第二步,在客戶端(centos6上)查找要吊銷的證書以確保吊銷正確,如圖十五

openssl x509 -in /etc/pki/CA/test.crt
-noout -serial -subject

創建CA、申請證書和吊銷證書詳解

(圖十五)

第三步;在服務端(centos7上)吊銷證書,如圖十六

 創建CA、申請證書和吊銷證書詳解

(圖十六)

第四步;更新證書吊銷列表,如圖十七

openssl 
ca  -gencrl  -out 
/etc/pki/CA/crl/crl.pem   #注意crl.pemWindows里面需要更改為crl的后綴才能查看

      創建CA、申請證書和吊銷證書詳解

(圖十七)

查看crl文件,如圖十八:

openssl crl -in /etc/pki/CA/crl/crl.pem -noout
-text  #以文本形式查看吊銷證書文件

 創建CA、申請證書和吊銷證書詳解

(圖十八)

原創文章,作者:chenxu@magedu.com,如若轉載,請注明出處:http://www.www58058.com/73187

(0)
chenxu@magedu.comchenxu@magedu.com
上一篇 2017-04-11 15:09
下一篇 2017-04-11 16:30

相關推薦

  • 初識varnish

      實驗拓撲 varnish主機    地址192.168.150.137 后端web主機     web1靜態服務192.168.150.138     web2動態服務192.168.150.140 varnish的安裝及開啟 varnish主機: ~]# yum info varni…

    Linux干貨 2017-01-05

  • iptables實踐-week14

    系統的INPUT和OUTPUT默認策略為DROP; 1、限制本地主機的web服務器在周一不允許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不允許訪問;web服務器僅允許響應報文離開本機; 規則: # 周一不能訪問web服務 ~]# iptables -R INPUT 1 -d 172.16.0.11 -p tcp –dp…

    Linux干貨 2017-05-04

  • bind的安裝實現

    首先介紹一下我的測試環境:centos 7+入網(為了試行一下自己的安裝文檔,才裝的虛擬機) 1> yum install bind bind-chroot -y     因為剛剛安裝的虛擬機,這里我就不檢查了; 2>vim named.conf [root@localhost named]# cat /e…

    Linux干貨 2016-03-20

  • 計算機起源與Linux簡述

    什么是計算機?  計算機(computer)俗稱電腦,是一種用于高速計算的電子計算機器,可以進行數值計算,又可以進行邏輯計算,還具有存儲記憶功能。是能夠按照程序運行,自動、高速處理海量數據的現代化智能電子設備。 它由硬件系統和軟件系統組成,沒有安裝任何軟件的計算機被稱為裸機。硬件系統由運算器,控制器,存儲器,輸入設備,輸出設備幾部分組成;…

    Linux干貨 2017-03-29

  • CentOS7系統用戶空間管理進程systemd詳解

    概述:     系統啟動過程中,當內核啟動完成,后加載根文件系統,后就緒的一些用戶空間的服務的管理工作,就交由init進行啟動和管理,在CentOS6之前的init的管理方式都類似,相關的內容我們在之前的文章中也做出過介紹。在CentOS7上,init變成了systemd,其管理方式也發生了重大的變化,本章就跟大家歐一…

    Linux干貨 2016-09-21

  • 以后的運維是linux系統的天下

       搞IT行業差不多10年了,也接觸過網絡設備的配置,比如防火墻和交換機的管理,也管理過虛擬化平臺,比如vmware的虛擬化,還懂一些簡單的oracle數據庫的安裝,存儲、光釬交換機的配置等,因為曾經在傳統企業做過8年多的網管,當時的企業規模也是比較大,也接觸了很多設備,但就是linux接觸的不是很多,后來去一家公司做系統集成,也是什么…

    Linux干貨 2016-10-19
欧美性久久久久