搭建CA服務器為Client簽發證書

王子豪 ? ? Linux干貨

搭建CA服務器為Client簽發證書

 

此次實驗步驟如下:

一、搭建CA服務器

1)  /etc/pki/CA下創建index.txt文件,此文件是為Client簽發證書的索引文件;

2)  /etc/pki/CA下創建serial文件,此文件記錄為Client簽發證書的編號;

3)  生成CA服務器私鑰;

4)  從私鑰生成自簽名證書;

二、Client生成私鑰和證書申請文件,從CA服務器請求證書;

 

以下為實驗的詳細步驟:

1.       需要準備兩臺虛擬機,一臺作為CA服務器,另外一臺作為客戶端,接收CA服務器簽發的證書,本次準備一臺CentOS6.9CA服務器,CentOS7.3Client

搭建CA服務器為Client簽發證書

2.       搭建CA服務器:

a)         /etc/pki/CA目錄下創建創建證書索引文件:index.txt,創建空文件即可,當為Client簽發證書之后本文件會自動生成索引記錄;同時創建serial文件,指定頒發證書的序列號,注意:序列號必須為兩位數字;

#touch index.txt
#echo 01 > serial

b)         生成證書私鑰文件,然后通過私鑰文件生成CA的自簽名證書,因為CA服務器為根CA,所以需要生成自簽名證書文件;

                    

#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

                   生成自簽名證書文件:

注意:自簽名證書文件需要指定country,company,state信息,根據ssl配置文件,默認Client申請證書和CA自簽發證書此三個值指定需要一致:

#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3560 -out /etc/pki/CA/cacert.pem
 
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:sales
Common Name (eg, your name or your server's hostname) []:magedu   
Email Address []:123@321.com

3.       Client生成私鑰和證書申請文件:

a)         生成私鑰文件:

#(umask 066;openssl genrsa -out /etc/pki/tls/private/test.key 1024)

b)         生成證書申請文件(注意:countrystatecompany信息需要和CA服務器自簽名證書信息一致):

#openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test.csr
 
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:technology
Common Name (eg, your name or your server's hostname) []:magedu
Email Address []:321@123.com

c)         拷貝證書文件至CA服務器,在CA服務器制作證書;

#scp test.csr root@192.168.11.128:/root/

4.       CA服務器制作Client證書文件:

a)         

 #openssl ca -in /root/test.csr -out /etc/pki/CA/certs/test.crt -days 365

/etc/pki/CA/certs/test.crt生成證書文件,通過cat可以查看證書信息;

#cat test.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=CN, ST=BeiJing, L=beijing, O=magedu.com, OU=sales, CN=magedu/emailAddress=123@321.com
        Validity
            Not Before: Apr 27 11:50:38 2017 GMT
            Not After : Apr 27 11:50:38 2018 GMT
        Subject: C=CN, ST=BeiJing, O=magedu.com, OU=technology, CN=magedu/emailAddress=321@123.com

b)         此時會生成index.txt.attrindex.txt.old,serial.old文件

搭建CA服務器為Client簽發證書

c)         Serial.old文件存放內容為01,新生成的serial文件內容為02,代表頒發證書的序列號,此序列號文件會自動更新;

d)         Index.txt文件存放的是制作Client證書的索引文件,開頭V表示此證書可用,如果為R表示為吊銷證書;

搭建CA服務器為Client簽發證書

 

至此證書制作成功。

 

 

 

 

原創文章,作者:王子豪,如若轉載,請注明出處:http://www.www58058.com/76647

(0)
王子豪王子豪
上一篇 2017-05-21 21:03
下一篇 2017-05-21 21:24

相關推薦

  • ?LVS

    LVS 概述 LVS工作類型 LVS NAT LVS DR(默認) Direct Routing帶來的問題 限制響應模型的內核參數 LVS TUN LVS FULLNAT scheduling-method 靜態調度算法 動態調度算法 CentOS 7 中的ipvs組件 安裝ipvsadm程序 主要文件 ipvsadm命令 配置集群服務 NAT方法示例 DR…

    Linux干貨 2016-10-26

  • N25—-第三周作業

    1、 列出當前系統上所有已登錄用戶的用戶名。只顯示一次    who | cut -d' ' -f1 | sort -u 2、 取出最后登錄到當前系統的用戶的相關信息。   last | h…

    Linux干貨 2016-12-19

  • Find命令簡介與使用

    用途:         find命令用來在指定目錄下查找文件。任何位于參數之前的字符串都將被視為欲查找的目錄名。如果使用該命令時,不設置任何參數,則find命令將在當前目錄下查找子目錄與文件。并且將查找到的子目錄和文件全部進行顯示。 語法: find [OPTION]… [查找…

    Linux干貨 2016-08-30

  • Linux中的文本處理工具

    本章內容:   一、各種文本工具來查看、分析,統計文本文件   二、grep   三、正則表達式   四、擴展正則表達式   五、Sed 具體內容如下: 一、抽取文本的工具:      文件內容:less和cat      文件截?。篽ead和tai…

    Linux干貨 2016-08-08

  • CentOS 6系統啟動流程

    Linux系統的組成 內核+根文件系統 內核功能:     進程管理、內存管理、文件系統管理、網絡管理、安全功能、驅動程序 運行中的系統環境可分為兩層:內核空間、用戶空間     用戶空間:應用程序(進程或線程)     內核空間:內核代碼…

    Linux干貨 2016-09-15

  • 馬哥Linux第五周作業

    at,cron,rpm,yum,sed

    2018-01-12
欧美性久久久久