實驗環境:
0x01 在109搭建搭建ca
1、手工建立
(umask 077;openssl genrsa -des -out private/cakey.pem 2048)openssl rsa -in private/cakey.pem -pubout > private/capub.pemopenssl req -new -x509 -key private/cakey.pem -out /etc/pki/ca/cacert.pem[root@localhost ca]
# /etc/pki/tls/misc/ca -newca
[root@redwand ~]yum install mod_ssl
根據/etc/pki/tls/openssl.conf配置檔案要求建立index.txt檔案,serial檔案
touch /etc/pki/ca/index.txt
echo 00 > /etc/pki/ca/serial
01 #serial號碼+1
[root@localhost ca]
# ls newcerts/
00.pem #簽好的https的證書
按照144上配置檔案/etc/httpd/conf.d/ssl.conf的要求放置109的證書
scp 00.pem [email protected]:/etc/pki/tls/certs/localhost.crt得到警告資訊,因為該證書的頒發者的證書redwand是自簽名的。
隱私與安全–》檢視證書–》證書頒發機構,匯入ca的證書cacert.crt,從而信任頒發機構。
0x05 ca吊銷證書
吊銷證書00.pem
[root@localhost ~]
# echo 00 > /etc/pki/ca/crlnumber
[root@localhost ~]
# openssl ca -revoke /etc/pki/ca/newcerts/00.pem -cert /etc/pki/ca/cacert.pem -keyfile /etc/pki/ca/private/cakey.pem -config /etc/pki/tls/openssl.cnf
using configuration from /etc/pki/tls/openssl.cnf
enter pass phrase for /etc/pki/ca/private/cakey.pem:
revoking certificate 00.
data base updated
[root@localhost ~]
# openssl ca -gencrl -out /etc/pki/ca/crl/client.crl -cert /etc/pki/ca/cacert.pem -keyfile /etc/pki/ca/private/cakey.pem -config /etc/pki/tls/openssl.cnf
[root@localhost crl]
# openssl crl -in client.crl -text
OpenSSL建立私有CA
ca default dir etc pki ca 工作目錄 certs dir certs 客戶端證書儲存位置 crl dir dir crl 證書吊銷列表 database dir index.txt 證書列表 new certs dir dir newcerts 新生成的證書儲存目錄 cert...
Openssl建立私有CA
1.a和b通過ssl傳輸資料大概過程 私鑰加密的資料只能自己對應的公鑰才能解密,ca 簽證機關先給自己發乙個證書,公共認可的機構,a b之間通訊 資料都是通過自己生成的私鑰加密的後生成的資料 首先 a 將自己的 姓名 位址 公鑰 發給ca 傳送的資料稱為aa,ca自己生成的有一對公鑰和私鑰。ca先提...
利用openssl建立私有CA
本次利用openssl建立私有ca,實現https加密通訊.openssl由三部分組成 加密演算法和協議 對稱加密演算法和協議 公鑰體系 分為公鑰和私鑰 des data encryption standard ibm研發 3des triple des aes advanced encryptio...