Linux 建立乙個簡單的私有CA 發證 吊銷證書

2021-07-31 09:10:09 字數 2065 閱讀 6385

操作環境:centos 6、rhel 6

操作虛擬機器:vmware

本實驗基於openssl實現,sslsecure sockets layer(安全套接層協議)的縮寫,可以在internet上提供秘密性傳輸。

實驗方法:

以centos 6系統作為ca機構,實行簽發證書等操作

以rhel 6系統作為申請證書客戶機

操作流程:

讓centos 6自簽證書成為ca發證機構

讓rhel 6客戶機生成證書申請請求併發送到ca

由ca檢查此申請是否正規,然後簽署證書並送回請求者

吊銷證書

openssl配置檔案:/etc/pki/tls/openssl.conf

實驗步驟:

1、首先要確保/etc/pki/ca下有certs、crl、newcerts、private四個目錄,然後再建立所需要的檔案

2、centos 6若想成為ca,它自己也得有證書,所以ca自簽證書

(1)先生成乙個秘鑰對,儲存在指定目錄下,檔名為cakey.pem(必須是這個名字,因為是配置檔案中定義的)

(2)生成證書請求,並自簽

openssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -days 7300 -out /etc/pki/ca/cacert.pem

-new:生成新證書簽署請求

-x509:專用於ca生成自簽證書

-key:生成請求時用到的私鑰檔案

-days n:證書的有效期限

-out /path/to/somecertfile:證書的儲存路徑

要輸入國家名、省份名、地區(市)名、組織或公司名、部門名、伺服器名、email位址

3、客戶機向ca申請認證,ca發證(1)rhel 客戶機將用到的證書生成證書請求

(2)客戶機把請求檔案傳輸給ca

(3)ca檢查無誤後簽署證書,並將證書發還給客戶機

4、吊銷證書(不太重要,所以就不詳細寫了)

(1)客戶端獲取要吊銷的證書的serial

openssl x509 -in /path/from/cert_file -noout -serial -subject
(2)ca

先根據客戶提交的serial與subject資訊,對比檢驗是否與index.txt檔案中的資訊一致;

吊銷證書:

openssl ca -revoke /etc/pki/ca/newcerts/serial.pem

(3)生成吊銷證書的編號(第一次吊銷乙個證書)

echo 01 > /etc/pki/ca/crlnumber
(4)更新證書吊銷列表

openssl ca -gencrl -out thisca.crl

檢視crl檔案:

openssl crl -in /path/from/crl_file.crl -noout -text

C 如何建立乙個簡單委託。

委託和類一樣,是一種使用者自定義的型別。delegate void printfunction class test public static void print2 class program 這段demo輸出的結果為 print1 instance print2 static print1 i...

建立乙個簡單的執行緒

handle createthread in opt lpsecurity attributes lpthreadattributes,security attributes 結構指定了這個執行緒的安全屬性,如果填 null 則就以預設的安全描述子建立,並且返回的控制代碼不會被繼承。in size ...

建立乙個簡單的畫板

1.cv.createtrackbar 有5個引數 滑動條的名字 視窗的名字 數值的最小值 數值的最大值 函式2.cv.gettrackbarpos 有2個引數 滑動條的名字 視窗的名字 函式的返回值是滑動條的數值。import cv2 as cv import numpy as np def no...