openssl配置檔案:
/etc/pki/tls/openssl.cnfmatch:要求申請填寫的資訊跟ca設定資訊必須一致
optional:可有可無,跟ca設定資訊可不一致
supplied:必須填寫這項申請資訊
建立私有ca
1.建立ca所需要的檔案
#檢視ca路徑
tree /etc/pki/ca
#若沒有此目錄,用下面的命令自行建立
fordir
in certs crl newcerts private ;
do madir -pv /etc/pki/ca/$dir
;done
touch /etc/pki/ca/index.txtecho 01 > /etc/pki/ca/serialcd /etc/pki/ca/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
生成對稱秘鑰加密的私鑰
(umask 077; openssl genrsa –out private/cakey.pem –des 2048)openssl rsa -in private/cakey.pem –out private/cakey2.pemopenssl rsa –in private/cakey.pem –pubout –out private/cakey.pem.pubopenssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -days 3650 -out
/etc/pki/ca/cacert.pem
-new:生成新證書簽署請求
-x509:專用於ca生成自簽證書
-key:生成請求時用到的私鑰檔案
-days n:證書的有效期限
-out /path/to/somecertfile: 證書的儲存路徑
1.為需要證書的主機生成私鑰
(umask 066; openssl genrsa –out /data/test.key 2048)openssl req -new -key /data/test.key -out /data/test.csropenssl ca -in /tmp/test.csr –out /etc/pki/ca/certs/test.crt -days 1004.檢視證書中的資訊
openssl x509 -in /path/from/cert_file -noout -text|issuer|subject|serial|dates
#檢視指定編號的證書狀態
openssl ca -status serial
在客戶端獲取要吊銷證書的serial
openssl x509 -in /path/from/cert_file -noout -serial -subject書
openssl ca -revoke /etc/pki/ca/newcerts/serial.pemecho 01 > /etc/pki/ca/crlnumberopenssl ca -gencrl -out /etc/pki/ca/crl.pemopenssl crl -in /etc/pki/ca/crl.pem -noout -text建立私有CA實現證書頒發指令碼
bin bash read p 指定ca證書名稱 name 安裝expect命令 rpm q expect dev null yum y install expect dev null 建立所需檔案if d etc pki ca then mkdir p etc pki ca fifor dirin...
建立私有CA為使用者頒發證書
1 建立ca ca伺服器端 進入cd etc pki ca,生成私鑰 umask 077 openssl genrsa out private cakey.pem 4096 生成成功 生成自簽名證書 x509 表示自簽名證書 openssl req new x509 key etc pki ca p...
建立私有CA並進行證書申請
由於很多時候做實驗需要用到證書,就需要自己搭建乙個私有ca來給自己頒發證書。同時通過整理建立ca和申請證書 吊銷證書的過程加深自己的理解.pki publilc key infrastructure 公鑰基礎設施 簽證機構 ca 序號產生器構 ra 證書吊銷列表 crl 證書訪問庫 建立私有ca所需...