檢查openssl是否安裝
/etc/pki/….
生成ca自簽證書
自簽證書:
-new:生成新證書簽署請求
-x509:專用ca生成自簽證書
-key:生成請求時用到的私鑰檔案
-day n:證書的有效期限
-out /path/to/somecertfile:證書的儲存路徑
country name (2 letter code) [xx]:cn------------國家
state or province name (full name):hn---------省份
locality name (eg, city) [defaultcity]:hb-------地區
organization name (eg, company)[default company ltd]:ming------公司名稱
organizational unit name (eg,section) :ming------公司的部門名稱
common name (eg, your name or yourserver's hostname) :centos7----ca伺服器主機名
email address :[email protected]管理員郵箱
初始化工作環境:
index.txt:索引檔案,用於匹配證書編號;
serial:證書序列號檔案,只在首次生成證書時賦值。
頒發證書過程:
a、用到證書的主機生成證書請求
b、把請求檔案傳輸給ca
c、ca簽署證書,並把證書發還給請求者
(https加密,在httpd建立ssl,生成申請,然後註冊證書)
拷貝到ca伺服器後:
簽署:openssl ca -in /ca存放位置.csr -out /輸出審核ca.crt -days 365 (簽署天數)
***.crt的傳輸給客戶端
證書的字尾是crt
檢視證書內的資訊:
openssl x509 -in /path/from/cert_file -noout -text [-subject]-serial
4、吊銷證書:
a、獲取吊銷證書的serial
#openssl x509 -in /path/from/cert_file -noout -serial -subject
b、ca伺服器
先根據客戶端提交的serial與 subject資訊,對比檢驗是否index.txt檔案中的資訊是否一致
吊銷證書:
openssl ca -revoke /etc/pki/ca/newcerts/serial.pem
c、生成吊銷證書編號(第一次吊銷乙個證書)
# echo 01 > /etc/pki/ca/crlnumber
d、更新證書吊銷列表:
# openssl ca -gencrl -out thisca.crl
檢視crl檔案
# openssl crl -in /path/from/crl_file.crl -noout –text
一次ca搭建到申請審批的完整過程:
OpenSSL建立私有CA
ca default dir etc pki ca 工作目錄 certs dir certs 客戶端證書儲存位置 crl dir dir crl 證書吊銷列表 database dir index.txt 證書列表 new certs dir dir newcerts 新生成的證書儲存目錄 cert...
openssl實現私有CA
實驗環境 0x01 在109搭建搭建ca 1 手工建立 umask 077 openssl genrsa des out private cakey.pem 2048 openssl rsa in private cakey.pem pubout private capub.pemopenssl r...
Openssl建立私有CA
1.a和b通過ssl傳輸資料大概過程 私鑰加密的資料只能自己對應的公鑰才能解密,ca 簽證機關先給自己發乙個證書,公共認可的機構,a b之間通訊 資料都是通過自己生成的私鑰加密的後生成的資料 首先 a 將自己的 姓名 位址 公鑰 發給ca 傳送的資料稱為aa,ca自己生成的有一對公鑰和私鑰。ca先提...