openssl實現私有CA

2021-10-03 05:45:47 字數 3179 閱讀 1983

實驗環境:

0x01 在109搭建搭建ca

1、手工建立

(umask 077;openssl genrsa -des -out private/cakey.pem 2048)
openssl rsa -in private/cakey.pem -pubout > private/capub.pem
openssl req -new -x509 -key private/cakey.pem -out /etc/pki/ca/cacert.pem
2、命令建立

[root@localhost ca]

# /etc/pki/tls/misc/ca -newca

0x02 在144搭建https
[root@redwand ~]yum install mod_ssl

0x03 在109的ca上給144簽證

根據/etc/pki/tls/openssl.conf配置檔案要求建立index.txt檔案,serial檔案

touch /etc/pki/ca/index.txt

echo 00 > /etc/pki/ca/serial

給144的證書請求檔案簽證

01 #serial號碼+1

[root@localhost ca]

# ls newcerts/

00.pem #簽好的https的證書

按照144上配置檔案/etc/httpd/conf.d/ssl.conf的要求放置109的證書

scp 00.pem [email protected]:/etc/pki/tls/certs/localhost.crt
0x04 client訪問

得到警告資訊,因為該證書的頒發者的證書redwand是自簽名的。

隱私與安全–》檢視證書–》證書頒發機構,匯入ca的證書cacert.crt,從而信任頒發機構。

0x05 ca吊銷證書

吊銷證書00.pem

[root@localhost ~]

# echo 00 > /etc/pki/ca/crlnumber

[root@localhost ~]

# openssl ca -revoke /etc/pki/ca/newcerts/00.pem -cert /etc/pki/ca/cacert.pem -keyfile /etc/pki/ca/private/cakey.pem -config /etc/pki/tls/openssl.cnf

using configuration from /etc/pki/tls/openssl.cnf

enter pass phrase for /etc/pki/ca/private/cakey.pem:

revoking certificate 00.

data base updated

生成證書吊銷列表client.crl

[root@localhost ~]

# openssl ca -gencrl -out /etc/pki/ca/crl/client.crl -cert /etc/pki/ca/cacert.pem -keyfile /etc/pki/ca/private/cakey.pem -config /etc/pki/tls/openssl.cnf

檢視吊銷列表的內容

[root@localhost crl]

# openssl crl -in client.crl -text

OpenSSL建立私有CA

ca default dir etc pki ca 工作目錄 certs dir certs 客戶端證書儲存位置 crl dir dir crl 證書吊銷列表 database dir index.txt 證書列表 new certs dir dir newcerts 新生成的證書儲存目錄 cert...

Openssl建立私有CA

1.a和b通過ssl傳輸資料大概過程 私鑰加密的資料只能自己對應的公鑰才能解密,ca 簽證機關先給自己發乙個證書,公共認可的機構,a b之間通訊 資料都是通過自己生成的私鑰加密的後生成的資料 首先 a 將自己的 姓名 位址 公鑰 發給ca 傳送的資料稱為aa,ca自己生成的有一對公鑰和私鑰。ca先提...

利用openssl建立私有CA

本次利用openssl建立私有ca,實現https加密通訊.openssl由三部分組成 加密演算法和協議 對稱加密演算法和協議 公鑰體系 分為公鑰和私鑰 des data encryption standard ibm研發 3des triple des aes advanced encryptio...