OpenSSL

kang ? ? Linux干貨

三個組件:

openssl: 多用途的命令行工具;

libcrypto: 加密解密庫;

libsslssl協議的實現;

PKIPublic Key Infrastructure

CA

RA

CRL

證書存取庫 

建立私有CA:

OpenCA

openssl 

證書申請及簽署步驟:

1、生成申請請求;

2、RA核驗;

3CA簽署;

4、獲取證書; 

創建私有CA

openssl的配置文件:/etc/pki/tls/openssl.cnf 

(1) 創建所需要的文件

 [root@localhost CA]# touch index.txt

[root@localhost CA]# echo 01 > serial 

(2) CA自簽證書

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

[root@localhost CA]# (umask 077; openssl genrsa  -out private/cakey.pem 2048)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem

[root@localhost CA]# openssl req -new -x509 -key  private/cakey.pem -days 7300 -out cacert.pem

例三:已創建CA證書

[root@localhost CA]# ll
total 8
-rw-r--r--. 1 root root 1407 Jun 15 17:33 cacert.pem 

-new: 生成新證書簽署請求;

-x509: 專用于CA生成自簽證書;

-key: 生成請求時用到的私鑰文件;

-days n:證書的有效期限;

-out /PATH/TO/SOMECERTFILE: 證書的保存路徑; 

(3) 發證

(a) 用到證書的主機生成證書請求

[root@localhost ssl]# (umask 077; openssl genrsa -out httpd.key 2048) 

# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

[root@localhost ssl]# openssl req -new -key httpd.key -days 365 -out httpd.csr

(b) 把請求文件傳輸給CA;

[root@localhost ssl]# scp httpd.csr root@192.168.21.137:/tmp/
Password:
httpd.csr                                             100% 1058     1.0KB/s   00:0

(c) CA簽署證書,并將證書發還給請求者;

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 

查看證書中的信息:

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial 

(4) 吊銷證書

(a) 客戶端獲取要吊銷的證書的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject 

(b) CA

先根據客戶提交的serialsubject信息,對比檢驗是否與index.txt文件中的信息一致;

吊銷證書:

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

(c) 生成吊銷證書的編號(第一次吊銷一個證書)

# echo 01 > /etc/pki/CA/crlnumber 

(d) 更新證書吊銷列表

# openssl ca -gencrl -out thisca.crl 

查看crl文件:

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

 

 

原創文章,作者:kang,如若轉載,請注明出處:http://www.www58058.com/78337

(0)
kangkang
上一篇 2015-03-21
下一篇 2015-03-23

相關推薦

  • iptables介紹和使用

    iptables/netfilter:    Packets Filter Firewall:          包過濾型防火墻:  Firewall:隔離工具,工作于主機或網絡的邊緣處,對經由的報文根據預先定義的規則(識別標準)進行檢測,對于能夠被規則匹配到的報文實行…

    Linux干貨 2017-04-29

  • LVS小記

    19.LVS小記    LVS的類型:        nat:是一種基于IP的DNAT的,通過目標端口與目標地址利用特定的算法選取出響就的主機進行響應,通過RS(Real Server)的地址和端口進行轉發            特點:&n…

    2017-05-15

  • 網卡相關

    ifconfig eth1 IP / ip a a IP dev eth1 修改指定網卡的IP地址   /etc/udev/rules.d/70-persistent-net.rules 設置Mac地址/網卡名配置文件,建議關機修改Mac地址,否則會造成Mac地址不匹配的情況   /etc/sysconfig/network-script…

    2017-12-18

  • LVS

    一 LVS工作原理 1. lvs-nat模型 lvs-nat:多目標的DNAT, 通過將請求報文中的目標地址和目標端口修改為挑選出的某RS的RIP和PORT 實現轉發。 (1) RIP和DIP必須在同一IP網絡,且應該使用私有地址,RS的網絡要指向DIP(保證響應報文必須由VS); (2) 請求報文和響應報文都經由Director轉發,較…

    Linux干貨 2016-12-06

  • 推薦-運維學習筆記-Puppet應用配置的工作原理

    背景知識 Puppet的核心功能是配置管理。一般來說,用戶在master上集中做配置,同時,被管理節點上的agent會定期從master上下載配置數據,再應用(apply)到本地,從而使管理節點的狀態(用戶,組,文件,安裝包,服務等的設置和運行狀態)與masters上定義的保持一致。 有時,出于測試的目的,并不希望真的應用配置,那么就需要執行puppet a…

    2016-06-01

  • 馬哥教育網絡班21期+第二周課程練習

    Linux上的文件管理類命令都有哪些?其常用的方法及其相關示例。     cp:將源文件或者目錄復制到目標文件或者目錄中。     mv:將文件或目錄重新命名,或者將源文件從源目錄移到目標目錄中。     rm:刪除指定的一個文件或者多個文件或者目錄。       &n…

    Linux干貨 2016-07-16
欧美性久久久久