CA證書服務搭建與申請

OscaoChaser ? ? Linux干貨

服務端根CA創建證書

進入固定目錄,創建所需要的文件

cd /etc/pki/CA/

CA證書服務搭建與申請

touch /etc/pki/CA/index.txt 生成證書索引數據庫文件 
echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號

CA證書服務搭建與申請

生成秘鑰

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048)

CA證書服務搭建與申請

利用私鑰生成自簽CA證書

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days  7300  -out    /etc/pki/CA/cacert.pem
    -new:  生成新證書簽署請求 
    -x509: 專用于CA生成自簽證書,不加表示申請 
    -key :指定生成請求時用到的私鑰文件的路徑 
    -days:指定證書的有效期限 
    -out : 指定證書的保存路徑

根據默認策略填寫的申請信息(國家,省,公司等)

有時候需要將私鑰文件和證書文件合并到一個文件,直接重定向到一個文件即可

CA證書服務搭建與申請

查看生成的自簽CA證書

生成的證書要放在目錄/etc/pki/CA/目錄中,而不是子目錄,否則后面為子CA簽署頒發證書時,會找不到自己的證書。例如:

CA證書服務搭建與申請

CA證書服務搭建與申請

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

CA證書服務搭建與申請

服務端子CA創建申請證書

進入固定目錄,準備所需文件

    cd /etc/pki/CA
    touch index.txt
    echo 01 > serial

CA證書服務搭建與申請

生成秘鑰

(umask 066;openssl genrsa -out ./private/subcakey.pem -des 1024)

CA證書服務搭建與申請

利用秘鑰生成CA申請

openssl req -new -key ./private/subcakey.pem -out ./certs/subca.csr

CA證書服務搭建與申請

將生成的證書申請上交給根CA審核簽署

scp ./certs/subca.csr root@ROOTCAIP:/etc/pki/CA/

CA證書服務搭建與申請

服務端根CA進行審核并頒發子CA的證書

查看需要審核和頒發的證書

CA證書服務搭建與申請

簽署證書

openssl ca -in /path/service.csr –out /etc/pki/CA/certs/service.crt -days 3650

將證書頒發給子CA

scp ./newcerts/01.pem root@SUBCAIP:/etc/pki/CA

CA證書服務搭建與申請

注意事項:

(1)會生成兩個之前設定的編號證書,在certs目錄中是.crt后綴,文件名是申請名;在newcerts目錄中是.pem后綴,文件名是編號。二者內容相同。

CA證書服務搭建與申請

(2)如果這時候沒有準備創建證書需要的數據庫索引文件index.txt和證書編號文件serial,會報錯提示,補上即可。

(3)簽署證書后,系統會自動備份簽署的上一個舊證書,后綴為index.txt.old如果沒有舊證書文件為空;在index.txt保存的是所有的證書信息。也會生成serial的備份。

CA證書服務搭建與申請

(4)產生一個新文件index.txt.attr,這個文件決定能否為一個證書申請頒發多個證書,默認yes不允許;如果允許,可以修改其文件內容為unique_subject = no。

CA證書服務搭建與申請

客戶端申請CA證書

在需要使用證書的主機生成私鑰

(umask 066; openssl genrsa -out /etc/pki/tls/private/client.key -des 2048)

CA證書服務搭建與申請

利用私鑰生成證書申請文件

openssl req -new -key  /etc/pki/tls/private/client.key  -out /etc/pki/tls/app.csr -days 365

填寫的申請信息國家,省,公司名稱三項必須和CA一致
申請時間可以不寫,因為時間是由服務端指定的

CA證書服務搭建與申請

將證書請求文件傳輸給子CA

scp /etc/pki/tls/app.csr SUBCAIP:/etc/pki/CA

CA證書服務搭建與申請

再為其他服務申請證書

(1)只需要直接申請,不需要再創建私鑰

(2)填寫的申請信息國家,省,公司名稱三項必須和CA一致

(3)申請時間可以不寫,因為時間是由服務端指定的

服務端子CA審核頒發證書

簽署證書

openssl ca -in /path/service.csr –out /etc/pki/CA/certs/service.crt -days 365

頒發證書

scp /etc/pki/CA/newcerts/01.pem root@CLIENTIP:/etc/pki/CA/

查看某個證書信息

penssl x509 -in /PATH/FROM/CERT_FILE  -noout -text

openssl ca -status SERIAL 查看指定編號的證書狀態,這個是利用數據庫索引文件index.txt實現的。

—-終—-

本文來自投稿,不代表Linux運維部落立場,如若轉載,請注明出處:http://www.www58058.com/86907

(7)
OscaoChaserOscaoChaser
上一篇 2017-09-11 09:56
下一篇 2017-09-11 15:30

相關推薦

  • 馬哥教育網絡班22期+第1周課程練習

    一、計算機組成部分及其功能:硬件系統和軟件系統     1、計算機的硬件系統組成及其功能:         運算器:處理數據的算術運算及邏輯運算即數據加工處理;         控制器:根據…

    Linux干貨 2016-08-15

  • Shell腳本編程之循環(for、while、until)

    Shell腳本編程之循環(for、while、until)   一、循環語句的對比: for語句 while語句 until語句 執行機制: 依次將列表中的元素賦值給“變量名”; 每次賦值后即執行一次循環體; 直到列表中的元素耗盡,循環結束 CONDITION:循環控制條件;進入循環之前,先做一次判斷;每一次循環之后會再次做判斷;條件為“true”…

    Linux干貨 2016-08-18

  • GRUB——防止root密碼被破解

    GRUB(Boot Loader): ·grub:GRand Unified Bootloader          grub 0.x:grub leagacy          grub 1.x:g…

    Linux干貨 2016-09-11

  • http特性

    一、何為http 什么是http?http是Hyper Text Mark Language的縮寫,超文本標記語言。Apache下的httpd是實現了這一功能的開源軟件。 二、http特性 http特性1:持久連接及MPM參數設置 KeepAlive {On|Off} #是否啟動持久連接 MaxKeepAliveRequests 100 …

    Linux干貨 2015-10-15

  • N22-第6周作業-冥界之王

    請詳細總結vim編輯器的使用并完成以下練習題1、復制/etc/rc.d/rc.sysinit文件至/tmp目錄,將/tmp/rc.sysinit文件中的以至少一個空白字符開頭的行的行首加#;    [root@CentOS6 /]# cp /etc/rc.d/rc.sysinit /tmp…

    Linux干貨 2016-09-19

  • Linux基礎—權限、grep使用

    今天主要是幾個練習,內容如下: 1、復制/etc/skel目錄為/home/tuser1,要求/home/tuser1及其內部文件的屬組和其他用戶均沒有任何訪問權限 [root@localhost ~]# cp -R /etc/skel/ /home/tuser1/ [root@localhost …

    Linux干貨 2016-10-10

評論列表(1條)

  • h
    h 2017-09-13 11:14

    一篇不錯的記錄文,推薦給大家了!

欧美性久久久久