一:建立私有ca
openssl的配置檔案:/etc/pki/tls/openssl.cnf
根據此配置檔案建立ca
certs:證書存放目錄 /etc/pki/ca/certs
database:資料庫檔案 /etc/pki/ca/index.txt
new_certs_dir:新頒發證書存放路徑 /etc/pki/ca/newcerts
certificate:自頒發證書 /etc/pki/ca/cacert.pem
serial:下乙個證書的序列號 /etc/pki/ca/serial
private_key: 私鑰 /etc/pki/ca/private/cakey.pem
crl_dir:證書吊銷列表
crlnumber:下乙個吊銷證書的序列號
default_days 證書有效期
policy:策略
countryname = match 匹配
stateorprovincename =match 匹配
organizationname = match 匹配
客戶端向服務端申請ca證書,此三項必須匹配
若策略由match更改為其他選項,則不用強制匹配
1:建立所需要的資料夾
touch /etc/pki/ca/index.txt 生成證書索引資料庫檔案
echo 01 > /etc/pki/ca/serial 指定第乙個頒發證書的序列號
2:生成ca秘鑰
(umask 077; openssl genrsa –out /etc/pki/ca/private/cake.pem 2048)
生成秘鑰,不帶密碼
成功生成檔案cakey.pem檔案
3:生成自簽名證書
openssl req -new -x509 –key
/etc/pki/ca/private/cakey.pem -days 7300 -out
/etc/pki/ca/cacert.pem
-new: 生成新證書簽署請求
-x509: 專用於ca生成自簽證書
-key: 生成請求時用到的私鑰檔案
-days n:證書的有效期限
-out /path/to/somecertfile: 證書的儲存路徑
/etc/pki/ca/cacert.pem為自簽名證書
openssl x509 -in /etc/pki/ca/cacert.pem -noout -text
在windows上檢視自簽名ca證書的相關資訊
1)rz /etc/pki/ca/cacert.pem 匯出檔案至windows
2) 更改檔案字尾為.cer
二:客戶端申請證書
1:建立私鑰
2:利用私鑰生成ca證書請求檔案
三:頒發證書
openssl ca -in /etc/pki/ca/csr/service.key –out /etc/pki/ca/cert/service.crt
此時資料庫更新了
下乙個證書的編號
檢視已經頒發的證書:
檢視已頒發證書的詳細資訊:
cat /etc/pki/ca/certs/service.crt
四:在windows中檢視ca頒發的證書
1)上傳檔案sz /etc/pki/ca/certs/service.crt
2)檢視:無上級證書路徑
3)安裝根ca至安全信任列表
也就是安裝ca生成的自簽名證書
4)再次檢視service證書
五:申請多個證書
1:無需重複生成秘鑰,直接生成另外的申請檔案即可
把國家更改為可選的,其他兩項沒做更改,重新申請
openssl ca -in csr/service2.csr -out certs/service2.crt -days 7000
2)再去更改州及公司的匹配策略
重新建立 ok
六:/etc/pki/ca目錄簡要描述
其中:csr目錄是自建的,方便儲存ca申請檔案
index.txt:也是自建的,格式也必須固定為index.txt
serial:檔案也是自建的,檔名固定。其數值範圍剛開始設
定,固定在00-99之間
index.txt.attr: 內存放的是subject的策略。
預設值為yes。subject內的內容是不可以全部都一致的,一致則不能頒發證書
cat index.txt.attr
unique_subject = yes
開啟pem格式的檔案使用命令
openssl x509 –in /etc/pki/ca/caert.pem –noout –text
七:證書的吊銷
1:吊銷
openssl ca –revoke /etc/pki/ca/newcerts/02.pem
2:指定第乙個吊銷證書的編號
手工建立吊銷列表檔案
echo 01 > /etc/pki/ca/crlnumber
3:更新吊銷證書列表
更新:openssl ca -gencrl -out /etc/pki/ca/crl/crl.pem
檢視crl內的pem檔案
openssl crl -in /etc/pki/ca/crl/crl.pem –noout -text
Linux 建立CA證書
有兩台機器乙個負責頒發 157 乙個負責申請 105 整體思路 1.搭建ca 2.傳送申請 3.頒發證書 選項說明 new 生成新證書簽署請求 x509 專用於ca生成自簽證書 key 生成請求時用到的私鑰檔案 days n 證書的有效期限 out path to somecertfile 證書的儲...
Windows 和 Centos 匯入 CA 證書
kubernetes 1.20.6 spring boot 2.5.1 centos 7 在 windows 和 centos 上匯入 ca 證書,伺服器證書則預設變成可信的。將 ca.crt 放到 windows 中時,雙擊安裝。雙擊後,在最下面能看到安裝證書的按鈕,然後點選。選擇 將所有證書都放...
VMware ESXi 更換 CA 證書
1 openssl 配置檔案 esxi.cfg req default bits 2048 default keyfile rui.key distinguished name req distinguished name encrypt key no prompt no string mask n...