- 實驗設(shè)備:兩臺(1太server一臺client)
- 實驗環(huán)境:無特別要求,需安裝OpenSSL及其組件
一 搭建CA服務(wù)器
(1)server操作
創(chuàng)建私有CA
-
創(chuàng)建所需要的文件
touch /etc/pki/CA/index.txt 生成證書索引數(shù)據(jù)庫文件 echo 01 > /etc/pki/CA/serial 指定第一個頒發(fā)證書的序列號 CA 自簽證書
生成私鑰
cd /etc/pki/CA/
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
-
生成自簽名證書
openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem -new: 生成新證書簽署請求 -x509: 專用于CA生成自簽證書 -key: 生成請求時用到的私鑰文件 -days n :證書的有效期限 -out / PATH/TO/SOMECERTFILE : 證書的保存路徑
(2)client
-
給web 服務(wù)器生成私鑰
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048) 生成證書申請文件 openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr 將證書傳送給server
(3)server簽署證書
CA 簽署證書纤子,并將證書頒發(fā)給請求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
注意:默認國家恶迈,省,公司名稱三項必須和CA
查看證書中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL查看指定編號的證書狀態(tài)
二 證書吊銷
(1)client操作
在客戶端獲取要吊銷的證書的serial
openssl x509 -in / PATH/FROM/CERT_FILE -noout -serial -subject
(2)server操作
-
在CA
上延曙,根據(jù)客戶提交的serial 與subject信息豌鹤,對比檢驗是否與index.txt`文件中的信息一致,吊銷證書:openssl ca -revoke /etc/pki/CA/newcerts/ SERIAL .pem -
指定第一個吊銷證書的編號
注意:第一次更新證書吊銷列表前枝缔,才 需要 執(zhí)行echo 01 > /etc/pki/CA/crlnumber -
更新證書吊銷列表
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl 文件:
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text