簡要介紹了使用openssl來生成ca證書、申請證書、頒發證書以及撤銷證書的過程。
首先建立ca金鑰
openssl genrsa -des3 -out ca.key 1024 (建立金鑰)
chmod 400 ca.key (修改許可權為僅root能訪問)
openssl rsa -noout -text -in ca.key (檢視建立的證書)
利用ca金鑰自簽署ca證書
openssl req -config openssl.cnf -new -x509 -days 3650 -key ca.key -out ca.crt chmod 400 ca.crt (修改許可權為僅root能訪問)
openssl x509 -noout -text -in ca.crt (檢視建立的證書)
建立伺服器證書簽署申請
openssl genrsa -des3 -out client.key 1024
chmod 400 client.key (修改許可權為僅root能訪問)
openssl rsa -noout -text -in client.key (檢視建立的證書)
利用證書簽署申請生成請求
openssl req -config openssl_client.cnf -new -key client.key -out client.csr
openssl req -noout -text -in client.csr (檢視建立的請求)
進行證書簽署
這時候需要先設定一下openssl的配置檔案。
modify openssl.cnf並根據這個配置檔案建立相應的目錄和檔案。
在建立了serial檔案之後,還需要新增當前的八進位制的serial number,如:01
然後執行:
openssl ca -config openssl_client.cnf -keyfile ca.key -cert ca.crt -in client.csr -out client.pem -days 1095
這個certificate是base64形式的,要轉成pkcs12才能裝到ie,/netscape上.所以還要:
openssl pkcs12 -export -in client.pem -inkey client.key -out clinet.pfx
證書撤銷
openssl ca -keyfile ca.key -cert ca.crt -revoke client.pem
這時資料庫被更新證書被標記上撤銷的標誌,需要生成新的證書撤銷列表:
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crl/test.crl
檢視證書撤銷列表:
openssl crl -noout -text -in crl/test.crl
證書撤銷列表檔案要在web站點上可以使用,必須將crldays或crlhours和crlexts加到證書中:
openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl
openssl簡明使用手冊
簡要介紹了使用openssl來生成ca證書 申請證書 頒發證書以及撤銷證書的過程 1.首先建立ca金鑰 openssl genrsa des3 out ca.key 1024 建立金鑰 chmod 400 ca.key 修改許可權為僅root能訪問 openssl rsa noout text in...
CocoaPods 簡明使用手冊
首先安裝ruby cocoapods需要這個 預設安裝就這一句 sudo gem install cocoapods 但是在國內cocoapods.org被封,因此需要用taobao.com的映象安裝 gem sources remove 刪除原 gem sources a 加入 源 sudo ge...
CVS使用手冊
注意 第一次匯出以後,就不是通過cvs checkout來同步檔案了,而是要進入剛才cvs checkout project name匯出的project name目錄下進行具體檔案的版本同步 新增,修改,刪除 操作。cvs的許可權管理分2種策略 基於系統檔案許可權的系統使用者管理 適合多個在lin...