openssl生成證書

2022-02-26 06:41:36 字數 2424 閱讀 6045

數字證書:

第三方機構使用一種安全的方式把公鑰分發出去

證書格式:x509,pkcs家族

x509格式:

公鑰和有效期限:

持有者的個人合法身份資訊;(主機名,網域名稱)

證書的使用方式

ca的資訊

ca的數字簽名

誰給ca發證:自簽署證書

使用者

1.生成一對金鑰

2.把所需資訊和公鑰按固定格式製作成證書申請(把公鑰給ca簽署)

ca機構

1.自簽證書,生成金鑰對

2.簽署證書

3.傳給使用者

4.維護吊銷列表(是否過期)

openca(大規模應用)

用openssl實現私有(自建)ca

配置檔案/etc/pki/tls/openssl.cnf

命令:誰給ca發證:自簽署證書

ca伺服器端:

用openssl實現私有ca:

配置檔案:/etc/pki/tls/openssl.cnf

[root@k8s1 ca]#  cd /etc/pki/ca

生成金鑰對兒,預設生成公鑰和私鑰 cakey.pem是私鑰:

# (umask

077; openssl genrsa -out

private/cakey.pem 2048

)

如果想檢視公鑰,公鑰是從私鑰中提取出來的,非必要提取公鑰:

# openssl rsa -in

private/cakey.pem -pubout -text -noout

生成自簽證書:

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

countrcountry name 國家

state or province name 州或者省的名字

locality name 所在的城市

organization name 所在的公司

organizational unit name 所在的部門

common name https訪問的位址

配置檔案:/etc/pki/tls/openssl.cnf

自簽證書,openssl.conf 配置檔案,無法修改common name(和email,需要手動修改。

建立需要的檔案:

# cd /etc/pki/ca

# touch index.txt serial crlnumber

給簽發的客戶端編號

#echo

01 >serial

客戶端:

用openssl實現證書申請:

在主機上生成金鑰,儲存至應用此證書的服務的配置檔案目錄下, 例如:

) 生成證書簽署請求(輸入的字元country name,state or province name, organization name 必須和服務ca端相同,否則

ca簽署不通過):

將請求檔案發往ca;

# scp httpd.csr ca伺服器端:/tmp/

ca伺服器端:
ca簽署證書:

簽署:# openssl ca -in /tmp/192.168.20.230.csr -out /tmp/192.168.20.230.crt -days 3650

將證書傳回請求者,可以放置到nginx 配置檔案下,形成https訪問

# scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,

吊銷證書:

# openssl ca -revoke /path/to/somefile.crt

OpenSSL生成證書

要生成證書的目錄下建立幾個檔案和資料夾,有.democa democa newcerts democa index.txt democa serial,在serial檔案中寫入第乙個序列號 01 1.生成x509格式的ca自簽名證書 opensslreq new x509 keyout ca.key...

openssl 生成 證書

x509 證書一般會用到三類文,key,csr,crt。key是私用金鑰 openssl 格,通常是 rsa演算法。csr是證書請求檔案,用於申請證書。在製作 csr檔案的時,必須使用自己的私鑰來簽署申,還可以設定乙個金鑰。crt是ca 認證後的證書文,windows 下面的,其實是 crt 簽署人...

OpenSSL生成證書

1.生成x509格式的ca自簽名證書 opensslreq new x509 keyout ca.key out ca.crt 可以加證書過期時間選項 days 365 2.生成服務端的私鑰 key檔案 及csr 檔案 openssl genrsa des3 out server.key 1024 ...