向CA申請證書

第二步：從客戶端申請證書。（centos6）

假設這個服務是app服務，所以申請的證書給app應用程序來使用

• 先生成私鑰：

[root@centos6 /data]$(umask 077;openssl genrsa -out app.key 1024 )

Generating RSA private key, 1024 bit long modulus

………………………++++++

………++++++

e is 65537 (0x10001)

析：文件名和目錄與CA的私鑰不能一樣。這里是放在當前/data下，叫pem或key后綴都可以.客戶端所以位數可以短點，這里只設置1024位。

2）利用私鑰文件來生成證書的申請文件：

[root@centos6 /data]$openssl req -new -key app.key -out app.csr

析：這里不用寫申請多少天，因為是頒發的說了算，這里也不用加-x509，因為這個是自簽名的意思。注意提交申請中，國家省公司名必須與CA中的一致。

[root@centos6 /data]$ls

app.csr? app.key

[root@centos6 /data]$scp app.csr 172.20.110.245 :/etc/pki/CA

回到centos7服務器上：開始審核用戶信息并頒發證書。頒發證書要用到/etc/pki/CA/index.tx?? /etc/pki/CA/serial這兩個文件，但現在這兩個文件還沒有，所以頒發證書時會報錯，如下

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100

Using configuration from /etc/pki/tls/openssl.cnf

/etc/pki/CA/index.txt: No such file or directory

unable to open ‘/etc/pki/CA/index.txt’

139651304716176:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen(‘/etc/pki/CA/index.txt’,’r’)

139651304716176:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

所以要先建index.txt文件。

[root@centos7 CA]# touch index.txt? 當頒發證書的時候它會自動把頒發完的結果，包括編號等信息寫到這個文件里。

[root@centos7 CA]# echo 0F > serial 指定編號隨便0F并創建文件serial

[root@centos7 CA]# cat serial

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100確定確定

[root@centos7 CA]# ls

app.csr???? certs? index.txt?????? index.txt.old? private? serial.old

cacert.pem? crl??? index.txt.attr? newcerts?????? serial

[root@centos7 CA]# ll certs/app.crt? 這就是我們頒發的證書

-rw-r–r–. 1 root root 4966 May 18 22:25 certs/app.crt

[root@centos7 CA]# cat certs/app.crt

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 15 (0xf)? 這個是編號不過轉成了10進制

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN, ST=beijing, L=beijing, O=magedu, OU=M30, CN=www.magedu.com

Validity

Not Before: May 18 14:25:37 2018 GMT

Not After : Aug 26 14:25:37 2018 GMT

Subject: C=CN, ST=beijing, O=magedu, OU=M30, CN=app.magedu.com

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c2:cc:d0:df:cf:2d:25:bd:7a:5c:db:2c:ce:98:

[root@centos7 CA]# sz certs/app.crt 同樣可以傳到widow上查看。

3）將文件復制到客戶端就完事了。

[root@centos7 CA]# tree

.

├── app.csr

├── cacert.pem

├── certs

│?? └── app.crt

├── crl

├── index.txt? （這個文件會自動更新，它存放了給哪些證書頒發的狀態是什）

├── index.txt.attr

├── index.txt.old （這是之前的自動做奮份）

├── newcerts

│?? └── 0F.pem

├── private

│?? └── cakey.pem

├── serial

└── serial.old

[root@centos7 CA]# cat index.txt

V ??????180826142537Z?????????? 0F????? unknown /C=CN/ST=beijing/O=maged

[root@centos7 CA]# scp certs/app.crt 172.20.111.193:/data/

如何吊銷證書？

如果發現某證書有問題如何吊銷？如下，發現證書編號為10的有問題：[root@centos7 CA]# cat serial?? ?查看證書編號

10

[root@centos7 CA]# openssl ca -status 10?? 查看證書狀態

Using configuration from /etc/pki/tls/openssl.cnf

Serial 10 not present in db.

Error verifying serial 10!

1.[root@centos7 CA]# openssl? ca -revoke newcerts/0F.pem

Using configuration from /etc/pki/tls/openssl.cnf

Revoking Certificate 0F.

Data Base Updated

[root@centos7 CA]# cat index.txt

R （是吊銷狀態）????? 180826142537Z?? 180519013814Z?? 0F????? unknown /C=CN/ST=beijing/O=magedu/OU=M30/CN=app.magedu.com

[root@centos7 CA]# openssl ca -status 0F

Using configuration from /etc/pki/tls/openssl.cnf

0F=Revoked (R)

2.證書雖已吊銷，但得讓其它使用證書服務的人也知道這個證書吊銷了，即要發布到互聯網上。

（1）發布到證書吊銷列表（CRL）：但需要人為去創建吊銷列表文件，且它也需要一個證書列表的一個單獨的編號。且放在圖1 中那個文件夾下，/etc/pki/tls

[root@centos7 CA]# openssl ca -gnecrl -out crl.pem

析：-out是生成，這里的路徑一定要注意了。

[root@centos7 CA]# echo 20 > /etc/pki/CA/crlnumber

析：指定吊銷列表編號，可以隨便編

[root@centos7 CA]# openssl ca -gnecrl -out crl.pem

[root@centos7 CA]# cat crlnumber

20