SSL中繼憑證

#建立資料夾 cd /ca

mkdir intermediate

#進入中繼憑證目錄，建立相關的目錄和檔案。
＃建立相關目錄。
＃private存放中繼憑證的私鑰。
＃csr存放中繼憑證的憑證簽發申請檔。
＃cert存放中繼憑證的憑證。
＃chain存放中繼憑證的憑證串鏈。
＃signature_certs存放中繼憑證簽發過的憑證的副本。
mkdir private csr cert chain signed_certs
＃更改私有目錄的訪問許可權。
chmod 700 private
＃建立index.txt，此檔案館使用記錄重複憑證簽發過的憑證的紀錄，多次重複憑證簽發憑證openssl會自動更新此檔案。
touch index.txt
＃建立序列號，並在檔案中填入0001，被簽發的憑證都會有序號的字段，記錄此憑證在上一層簽發單位所簽發的憑證的序號，此檔案會重新記錄中繼憑證簽發的憑證的序號，每次重複憑證簽發憑證openssl會自動更新此檔案
echo 0001 > serial

在intermediate目錄下touch openssl_intermediate_ca.cnf

填上下面內容

[ ca ]
default_ca = ca_default
[ ca_default ]
＃放置相關的檔案和目錄。
dir           = /ca/intermediate
certs         = $dir/cert
new_certs_dir = $dir/signed_certs
database      = $dir/index.txt
serial        = $dir/serial
randfile      = $dir/private/.rand
＃放置私鑰和憑證的路徑。
private_key   = $dir/private/intermediate_ca.key.pem
certificate   = $dir/cert/intermediate_ca.cert.pem
default_md    = sha256
name_opt      = ca_default
cert_opt      = ca_default
default_days  = 365
preserve      = no
policy        = policy_defualt
[ policy_defualt ]
countryname            = optional
stateorprovincename    = optional
organizationname       = optional
organizationalunitname = optional
commonname             = supplied
emailaddress           = optional
[ req ]
＃req工具需要的引數。.
default_bits       = 2048
distinguished_name = req_distinguished_name
string_mask        = utf8only
default_md         = sha256
[ req_distinguished_name ]
＃產生憑證時要輸入的資料的說明。
countryname            = country name (2 letter code)
stateorprovincename    = state or province name
localityname           = locality name
0.organizationname     = organization name
organizationalunitname = organizational unit name
commonname             = common name
emailaddress           = email address
[ server_cert ]
＃簽發伺服器憑證使用。
basicconstraints = ca:false
nscerttype = server
nscomment = "openssl generated server certificate"
subjectkeyidentifier = hash
authoritykeyidentifier = keyid,issuer:always
keyusage = critical, digitalsignature, keyencipherment
extendedkeyusage = serverauth
[ client_cert ]
＃簽署客戶端憑證使用
basicconstraints = ca:false
nscerttype = client, email
nscomment = "openssl generated client certificate"
subjectkeyidentifier = hash
authoritykeyidentifier = keyid,issuer
keyusage = critical, nonrepudiation, digitalsignature, keyencipherment
extendedkeyusage = clientauth, emailprotection

#在中繼憑證目錄中產生中繼憑證的私鑰，檔名是 intermediate_ca.key.pem
openssl genrsa -aes256 -out private / intermediate_ca.key.pem 4096
＃會提示需要輸入私鑰使用的密碼，例如是bob123
enter pass phrase for private/intermediate_ca.key.pem:bob123
＃再次確認密碼
verifying - enter pass phrase for private/intermediate_ca.key.pem:bob123
＃變更私鑰的訪問許可權。
chmod 400 private/intermediate_ca.key.pem

openssl req -config openssl_intermediate_ca.cnf -new -sha256 \ -key private/intermediate_ca.key.pem \ -out csr/intermediate_ca.csr.pem #會提示需要輸入中繼的私鑰密碼 enter pass phrase for private/intermediate_ca.key.pem:bob123

#接下來需要輸入憑證擁有者的資訊。（和根目錄一樣）

cd ../root #簽發申請檔，有效期限是3650天。 openssl ca -config openssl_root_ca.cnf -extensions intermediate_ca \ -days 3650 -notext -md sha256 \ -in ../intermediate/csr/intermediate_ca.csr.pem \ -out ../intermediate/cert/intermediate_ca.cert.pem ＃會提示需要輸入根憑證的私鑰密碼 enter pass phrase for /ca/root/private/root_ca.key.pem:alice123 #輸入兩個y #修改許可權

chmod 444 ../intermediate/cert/intermediate_ca.cert.pem

檢查簽發的中繼憑證是否無誤。

openssl x509 -noout -text -in ../intermediate/cert/intermediate_ca.cert.pem

確認中繼憑證是由根憑證所簽發。 openssl verify -cafile cert/root_ca.cert.pem \ ../intermediate/cert/intermediate_ca.cert.pem 顯示ok表示正確。

../intermediate/cert/intermediate_ca.cert.pem: ok

返回中繼憑證目錄處理。 cd ../intermediate 憑證串鏈。（包含根憑證） cat cert/intermediate_ca.cert.pem ../root/cert/root_ca.cert.pem > chain/chain.cert.pem ＃變更憑證串鏈的訪問許可權。

chmod 444 chain/chain.cert.pem

SSL中繼憑證

銷售憑證與發貨憑證

批量匯入憑證時，憑證的分割

sap 幾類憑證

SSL中繼憑證

銷售憑證與發貨憑證

批量匯入憑證時，憑證的分割

sap 幾類憑證

相關推薦