Linux創建CA和申請認證

657188918 ? ? Linux干貨

Linux創建CA和申請認證

背景:

在學習Linux運維中,學習到了CA的創建和申請認證,為了加深對CA的理解,這里做一個創建CA和申請認證的實驗并記錄下來供以后回顧。

介紹:

什么是CA認證?

  • 電子商務認證授權機構(CA, Certificate Authority),也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,并作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
  • CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中,CA不僅對持卡人、商戶發放證書,還要對獲款的銀行、網關發放證書。

實驗介紹:

  • 在VMware一臺虛擬機上創建CA,然后用另一臺虛擬機做客戶端來申請證書,并在電腦上安裝證書

實驗:

1、編輯openssl配置文件(可以不用修改,使用默認選項)

命令 vim? /etc/pki/tls/openssl.cnf

在默認配置文件里定義了CA相關目錄位置和相關文件位置,還定義了我們使用的策略

1

2

 

 

2、創建需要的文件

 

在創建CA之前我需要先根據配置文件來創建幾個文件(實驗使用的是默認的配置,沒改動)

(1)創建第一個文件命令:touch /etc/pki/CA/index.txt?? ;這個文件是用來存放認證的認證數據庫,如果不創建會在認證的時候報錯,這里可以先創建也可以看到報錯信息后在創建

(2)創建第二個文件命令:echo 01 > /etc/pki/CA/serial? ;這里存放認證起始編號;用來表示下一個認證的編號是什么

3、CA自簽證書

(1)在生成CA自簽證書需要先生成私鑰

命令1:cd /etc/pki/CA/ 移動到CA目錄下

命令2:(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)? 這個小括號是必須要有的

3

(2)生成自簽證書

命令:openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

req表示申請證書;

-new 表示生成新證書簽署請求;

-x509表示是自簽證書;

-key后面接的是申請證書用到的私鑰;

-days表示證書有效期;

-out 后面接的是證書保存位置 (ps:這里的cacert.pem文件名一定和配置文件一致,下圖的文件名就少寫了個c,在實驗時出錯了,不過改下文件名字就好了)

4

在做好自簽證書后就可以給其他人簽發證書了,先看看CA目錄的文件結構,等會兒在簽署證書時會發現變化

5

4、用另一臺虛擬機來模擬申請證書

步驟:

(1)在申請證書的虛擬機上生成自己的私鑰;命令:(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)? 這個小括號是必須要有的

(2)在申請證書的虛擬機上生成證書請求文件;命令:openssl req -new -key /etc/pki/tls/private/test.key
-days 365 -out etc/pki/tls/test.csr? 這里寫時間是沒有用,有效期是簽署者給的

6

7

在生成了證書請求文件后要將這個文件傳給CA所在虛擬機

8

CA在收到證書請求文件后就可以審核和簽署證書;簽署證書命令:openssl ca -in /etc/pki/CA/certs/test.csr -out /etc/pki/CA/certs/test.crt -days 3650

9

10

5、安裝證書

在簽署了證書后就可以將證書發給申請者,申請者就可以使用該證書了。

我們將證書放在windows上來查看信息。

11

12

現在安裝根證書,讓這個證書被系統識別。

1314

12

下面開始安裝根證書

151718192021

到此說明我們CA成功創建和申請證書完成

看看/etc/pki/CA目錄結構變化:

22

6、吊銷證書

如果你要查看證書信息,命令:openssl ca -status SERIAL?? 查看指定編號的證書狀態

如果你要吊銷一個證書

在客戶端獲取要吊銷的證書的編號
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
在CA上,根據客戶提交的serial與subject信息,對比檢驗是否與index.txt文件中的信息一致

吊銷證書:openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem? (SERIAL是證書編號)

23

 

本文來自投稿,不代表Linux運維部落立場,如若轉載,請注明出處:http://www.www58058.com/86750

(3)
657188918657188918
上一篇 2017-09-09 20:39
下一篇 2017-09-09 20:48

相關推薦

  • vim及腳本

    1、復制/etc/rc.d/rc.sysinit文件至/tmp目錄,將/tmp/rc.sysinit文件中的以至少一個空白字符開頭的行的行首加#。     第一步:     [root@localhost ~]# cp /etc/rc.d/rc.sy…

    Linux干貨 2016-12-02

  • Linux 中cp 、rm和mv與inode之間的關系

    1.cp和inode          當文件不存在時,分配一個新的inode號,創建新文件;          當文件存在時,則inode號采用被覆蓋之前的目標文件的inode號。 2.rm和ino…

    2017-07-21

  • linux 網路管理路由和team網絡組

    如何實現把linux當路由器來使用,實現不同網段之間的通信訪問,這就是今天所要實現的路由配置   環境準備:4臺虛擬機,兩臺中間兩臺作為路由器來使用(每天主機兩塊網卡),其他兩臺作為終端主機,目的是讓不同網段的兩臺主機之間互相訪問(這里在vmware里面做的實驗,所以網卡的類型都設置為橋接)   拓撲圖:   步驟一:將A、D兩…

    Linux干貨 2017-05-07

  • N22-第六周作業

    請詳細總結vim編輯器的使用并完成以下練習題      vim是模式化的文本編輯器。在不同模式下,每一次按鍵的效果都不一樣。vim有三種工作模式,分別是編輯模式,插入模式和末行模式。編輯模式是打開vim后的默認模式,用于查看文本或進行復制,粘貼,刪除等編輯命令。插入模式是為了向文本中輸入信息。末行模式是vim自帶的命令行接口,能…

    Linux干貨 2016-09-26

  • 馬哥教育的第一天

    春天的北京,比想象中的更加溫暖,跨越一千三百公里的距離,我來到馬哥教育位于北京昌平區的校區,傳說中的春寒料峭似乎遺忘了北京,自湖北出門的時候,車外還是淅淅瀝瀝的小雨,到達北京,迎接我的卻是春風拂面熏人醉。 安頓了兩天之后,我們三十期的開班典禮在三月二十六號早上的九點鐘準時開始,由云珍老師主持,傳說中的馬哥、王老師、張sir、宗華老師紛紛登臺致辭,分別從運維工…

    2018-03-26

  • Linux之磁盤管理

    Linux之磁盤管理       linux系統中, 一切都是文件, 而這些文件都是存儲在磁盤中, 因此對于磁盤的管理是非常重要的, Linux磁盤管理的好壞, 直接關系到整個系統的性能問題, 本文主要介紹了磁盤結構, 分區類型, 管理分區, 管理文件系統, 掛載設備, 管理虛擬內存這幾大項的內容.    &…

    Linux干貨 2016-08-29
欧美性久久久久