Centos7建立CA和申請證書

2022-06-28 05:06:08 字數 2904 閱讀 5448

**:

centos7.3建立ca和申請證書

openssl 的配置檔案:/etc/pki/tls/openssl.cnf

重要引數配置路徑

dir   = /etc/pki/ca                # where everything is kept

certs   = /etc/pki/ca/certs            # where the issued certs are kept

database    = /etc/pki/ca/index.txt        # database index file.

new_certs_dir    = /etc/pki/ca/newcerts         # default place for new certs.

certificate   = /etc/pki/ca/cacert.pem       # the ca certificate

serial    = /etc/pki/ca/serial           # the current serial number

private_key    = /etc/pki/ca/private/cakey.pem   # the private key

三種策略:匹配、支援和可選

匹配指要求申請填寫的資訊跟ca設定資訊必須一致;支援指必須填寫這項申請資訊;可選指可有可無

1、建立所需要的檔案

touch /etc/pki/ca/index.txt  生成證書索引資料庫檔案

echo 01 > /etc/pki/ca/serial  指定第乙個頒發證書的序列號,必須是兩位十六進製制數,99之後是9a

2、ca自簽證書

生成私鑰

cd /etc/pki/ca/

(umask 066;openssl genrsa -out /etc/pki/ca/private/cakey.pem 2048)

生成自簽名證書

openssl req -new -x509 –key /etc/pki/ca/private/cakey.pem -days 7300 -out /etc/pki/ca/cacert.pem

-new: 生成新證書簽署請求

-x509: 專用於 ca 生成自簽證書

-key: 生成請求時用到的私鑰檔案

-days n:證書的有效期限

-out: 證書的儲存路徑

提示輸入國家,省,市,公司名稱,部門名稱,ca主機名(頒發者名稱)

linux下檢視生成的自簽名證書

openssl x509 -in /etc/pki/ca/cacert.pem -noout -text

windows下檢視生成的自簽名證書

需要更改上述檔名字尾為.cer即可檢視

3、頒發證書

(1)在需要使用證書的主機生成證書請求

給web伺服器生成私鑰

生成證書申請檔案

同樣提示輸入國家,省,市等資訊。注意:國家,省,公司名稱三項必須和ca一致。主機名稱必須和**網域名稱相同,如www.centos73.com。或者使用泛網域名稱,即*.centos73.com,匹配所有。

(2)將證書請求檔案傳輸給ca

(3)ca簽署證書,並將證書頒發給請求者

openssl ca -in /etc/pki/ca/csr/service.csr –out /etc/pki/ca/certs/service.crt -days 365

生成certs/service.crt和newcerts/xx.pem檔案,兩個檔案相同。

(4)檢視證書中的資訊

openssl x509 -in certs/service.crt -noout -text|issuer|subject|serial|dates

cat serial

cat index.txt  //v表示當前證書的狀態正常

openssl ca -status serial  檢視指定編號的證書狀態

cat index.txt.attr  //yes表示subjects資訊必須是唯一的,不能重複申請

4、吊銷證書

(1)在客戶端獲取要吊銷的證書的serial

openssl x509 -in /etc/pki/ca/cacert.pem -noout -serial -subject

(2)在ca上,根據客戶提交的serial與subject資訊,對比檢驗是否與index.txt檔案中的資訊一致,吊銷證書:

openssl ca -revoke /etc/pki/ca/newcerts/xx.pem

cat index.txt  //r表示證書已經失效

(3)指定第乙個吊銷證書的編號

注意:第一次更新證書吊銷列表前,才需要執行

echo 01 > /etc/pki/ca/crlnumber

(4)更新證書吊銷列表

openssl ca -gencrl -out /etc/pki/ca/crl.pem

linux下檢視crl檔案:

openssl crl -in /etc/pki/ca/crl.pem -noout -text

windows下檢視吊銷列表檔案,需更改檔案字尾為.crl

本文出自 「rackie」 部落格,請務必保留此出處

centos7.3建立ca和申請證書

標籤:建立ca

證書申請和吊銷

使用openssl建立CA和申請證書

在開始申請證書之前,我們都知道要申請自己的數字證書必須向ca certficate authority 機構提交csr certficate signing request 證書申請,下面我們就自己建立ca並利用建立好的ca給客戶頒發證書 注意 如果對各證書檔名或者openssl不太了解的,可以先看...

centos7中建立使用者

需求 在centos7系統中建立乙個使用者,並賦予sudo許可權 一 建立使用者名為 test root localhost adduser test為該使用者建立密碼 二 授權 個人使用者的許可權只可以在本home下有完整許可權,其他目錄要看別人授權。而經常需要root使用者的許可權,這時候sud...

Centos7安裝Miniconda,建立虛擬環境

指定目錄 據情況而定 niub minconda 輸入 wget 執行 bash miniconda3 latest linux x86 64.sh 輸入yes,continue,然後輸入conda,進行安裝 配置conda環境變數 source root bashrc 退出環境 conda dea...