OpenSLL之建立私有CA

发布时间:2020-07-29 15:08:21 作者:hsxaou
来源:网络 阅读:514


一、CA证书的格式

数字证书的格式(x.509 v3):

版本号(version)

序列号(serial number):CA用于惟一标识此证书;

签名算法标志(Signature algorithm identifier)

发行者的名称:即CA自己的名称;

有效期:两个日期,起始日期和终止日期;

证书主体名称:证书拥有者自己的名字

证书主体公钥信息:证书拥有者自己的公钥;

发行商的惟一标识:

证书主体的惟一标识:

扩展信息:

签名:CA对此证书的数字签名;

二、建立自己的CA

使用OpenSSL构建私有CA的步骤:

1、生成私钥;

2、生成自签署证书;

(1) 私钥用于签发证书时,向证书添加数字签名使用;

(2) 证书:每个通信方都导入此证书至“受信任的证书颁发机构”;

配置文件:/etc/pki/tls/openssl.cnf

                OpenSLL之建立私有CA

工作目录:/etc/pki/CA/

                OpenSLL之建立私有CA

三、开始建立私有CA:

1、生成私钥文件: /etc/pki/CA/private/cakey.pem

         OpenSLL之建立私有CA                   

2、生成自签证书

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #

            -new: 生成新的证书签署请求;

            -key:私钥文件路径,用于提取公钥;

            -days N: 证书有效时长,单位为“天”;

            -out:输出文件保存位置;

            -x509:直接输出自签署的证书文件,通常只有构建CA时才这么用;

                                假如我们的公司在中国河南郑州叫MEITUAN,部门名称YOUHUI,网站叫www。meituan.com

                         OpenSLL之建立私有CA

3、提供必要的辅助文件以便将来别人向我申请证书时或撤销证书时,我可以自动记录他们的信息

                                在etc/pki/CA下创建index.txt文件

                                # touch /etc/pki/CA/index.txt

                                并创建serial目录文件,向文件你添加一个开始序号

                                # echo 01 > /etc/pki/CA/serial


四、向CA申请证书

    1.生成自己的私钥

    OpenSLL之建立私有CA

    2.生成证书签署请求文件

     openssl req -new -key .. -out .. -days ..

     证书签署请求里面的选项除了common name一项填写自己的网站外,其余的必须与CA签发机构一致

OpenSLL之建立私有CA

    3.把请求文件发送给CA

     用优盘拷过去或者邮件发过去

五、CA签发证书

    1.验证请求者身份信息

    2.签署证书

openssl ca -in /etc/httpd/ssl/cakey.csr -out /etc/httpd/ssl/cakey.crt -days 365

OpenSLL之建立私有CA

    3.把签好的证书发还给请求者

六、吊销证书

    1、获取吊销证书的序列号

     openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

    OpenSLL之建立私有CA

    2、吊销证书

    openssl ca -revoke /PATH/FROM/CRT-FILE

OpenSLL之建立私有CA

    3、生成吊销编号

    echo 01 > /etc/pki/CA/crlnumber

OpenSLL之建立私有CA

好了。。就这了






推荐阅读:
  1. 私有CA建立和证书申请
  2. CentOS 7 使用kodexplorer建立私有云储存网盘

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

openssl、建立私有ca ns

上一篇:PHP new self()和new static()的区别

下一篇:Cocos2D-Android-1之源码详解:16.ParticleTest

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》