由於很多時候做實驗需要用到證書,就需要自己搭建乙個私有ca來給自己頒發證書。同時通過整理建立ca和申請證書、吊銷證書的過程加深自己的理解.
pki:publilc key infrastructure
公鑰基礎設施:
簽證機構:ca
序號產生器構:ra
證書吊銷列表:crl
證書訪問庫
建立私有ca所需工具:
openca 、openssl
證書申請及簽署步驟:
1、生成申請請求
2、ra核驗
3、ca簽署
4、獲取證書
建立私有ca:
openssl的配置檔案:/etc/pki/tls/openssl.cnf
openssl.cnf配置檔案由許多節(section)組成,這些節指定了一系列由openssl命令使用的預設值。
一、 建立所需要的檔案。
]#touch /etc/pki/ca/index.txt
]#echo 01 >/etc/pki/ca/serial
二、ca自簽證書
1、生成私鑰
]#cd /etc/pki/ca/
]#(umask 066; openssl genrsa -out /etc/pki/ca/private/cakey.pem 2048)
2、生成自簽名證書
]#openssl req –new -x509 -key /etc/pki/ca/private/cakey.pem -days 7300 -out /etc/pki/ca/cacert.pem
-new:生成新證書簽署請求。
-x509:專用於ca生成自簽證書。
-key:生成請求時用到的私鑰檔案。
-out /path/to/some_cert_file:證書的儲存位置。
三、頒發證書
1、在需要使用證書的主機生成證書請求
例如:給web伺服器生成私鑰
注意:存放金鑰的目錄要事先存在
2、生成證書申請檔案.
3、將證書請求檔案傳輸給ca(也就是自簽證書的那台機器)
4、ca簽署證書,並將證書頒發給請求者.
注意:預設國家、省公司名稱必須和ca一致
5、檢視證書中的資訊
]# openssl x509 –in /path/from/cert_file –noout –text|subject|serial|dates
四、吊銷證書
1、在客戶端獲取要吊銷的證書的serial.
2、在ca上,根據客戶提交的aerial與subject資訊,對比檢驗是否與index.txt檔案中的
資訊一致。
吊銷證書:
]#openssl ca -revoke /etc/pki/ca/newcerts/01.pem
3、生成吊銷證書的編號(第一次吊銷乙個證書時才需要執行)
echo 01 > /etc/pki/ca/crnumber
4、更新證書吊銷列表
openssl ca -gencrl -out /etc/pki/ca/crl/ca.crl
檢視crl檔案:
]# openssl crl -in /etc/pki/ca/crl/ca.crl -noout -text
搜尋複製
建立私有CA實現證書申請頒發
openssl配置檔案 etc pki tls openssl.cnf三種策略 match匹配 optional可選 supplied提供 match 要求申請填寫的資訊跟ca設定資訊必須一致 optional 可有可無,跟ca設定資訊可不一致 supplied 必須填寫這項申請資訊 建立私有ca ...
使用openssl建立CA和申請證書
在開始申請證書之前,我們都知道要申請自己的數字證書必須向ca certficate authority 機構提交csr certficate signing request 證書申請,下面我們就自己建立ca並利用建立好的ca給客戶頒發證書 注意 如果對各證書檔名或者openssl不太了解的,可以先看...
建立私有CA及證書頒布詳解
一 ca證書簡介 二 建立私有ca 1 建立私有ca方式 小範圍測試使用openssl 大範圍維護大量證書企業使用openca 對openssl進行了二次封裝,更加方便使用 2 基於openssl建立ca證書 1 配置檔案 2 建立步驟 以centos6作為ca主機,ip位址為192.168.159...