CA

openssl的配置文件: /etc/pki/tls/openssl.cnf舱殿,這個文件包含了很多關(guān)于CA的配置限寞。

[root@CentOS7 ~]#vim /etc/pki/tls/openssl.cnf 

...部分略

####################################################################
[ ca ]
default_ca      = CA_default            # 默認(rèn)的CA

####################################################################
[ CA_default ]                          # CA默認(rèn)的配置

dir             = /etc/pki/CA           # 定義CA文件總目錄
certs           = $dir/certs            # 保存發(fā)布的證書的目錄
crl_dir         = $dir/crl              # 保存證書吊銷列表的目錄
database        = $dir/index.txt        # 證書索引數(shù)據(jù)庫
#unique_subject = no                    # 是否允許多個證書使用一個subject
                                       
new_certs_dir   = $dir/newcerts         # 新證書目錄

certificate     = $dir/cacert.pem       # CA自己本身的證書(自簽名的證書)
serial          = $dir/serial           # 下一個證書的序列號
crlnumber       = $dir/crlnumber        # 下一個吊銷證書的序列號
crl             = $dir/crl.pem          # 已吊銷的證書的目錄
private_key     = $dir/private/cakey.pem# CA的私鑰
RANDFILE        = $dir/private/.rand    # 私鑰隨機數(shù)文件

x509_extensions = usr_cert              # 數(shù)字證書擴展
...
default_days    = 365                   # 證書有效期
default_crl_days= 30                    # 證書吊銷列表發(fā)布更新時間
default_md      = sha256                # 使用的hash算法
preserve        = no                    # keep passed DN ordering
...
policy          = policy_match          #使用的CA策略

# For the CA policy
[ policy_match ]                        #CA策略policy_match的定義
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]                    #CA策略policy_anything的定義
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied

1、創(chuàng)建私有CA的私鑰
按照配置上述的配置文件的定義涝动,CA私鑰保存在/etc/pki/CA/private/cakey.pem

[root@CentOS7 ~]#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...........................................+++
.............................................................+++
e is 65537 (0x10001)
[root@CentOS7 ~]#tree /etc/pki/CA
/etc/pki/CA
├── certs
├── crl
├── newcerts
└── private
    └── cakey.pem

4 directories, 1 file

上面的命令厦酬,()是打開一個子進程胆描,臨時設(shè)置umask。這樣我們創(chuàng)建的私鑰文件權(quán)限也同時設(shè)定成600了仗阅。

2昌讲、生成自簽名證書
用上一步CA的私鑰,生成自簽名證書:/etc/pki/CA/cacert.pem
有效期為十年减噪。-x509選項用于生成自簽名證書短绸。

[root@CentOS7 ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GUANGDONG
Locality Name (eg, city) [Default City]:SHENZHEN
Organization Name (eg, company) [Default Company Ltd]:Magedu.com        
Organizational Unit Name (eg, section) []:M24
Common Name (eg, your name or your server's hostname) []:ca.magedu.com
Email Address []:

[root@CentOS7 ~]#tree /etc/pki/CA
/etc/pki/CA
├── cacert.pem
├── certs
├── crl
├── newcerts
└── private
    └── cakey.pem

4 directories, 2 files

用以下命令可以查看簽名證書的信息

[root@CentOS7 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

3、

[root@CentOS7 ~]#touch /etc/pki/CA/index.txt
#生成證書索引數(shù)據(jù)庫文件
[root@CentOS7 ~]#echo 01 >  /etc/pki/CA/serial
#指定頒發(fā)證書的第一個序列號
[root@CentOS7 ~]#mkdir /etc/pki/CA/csr/

客戶端:

1筹裕、生成私鑰
與CA服務(wù)端不同醋闭,CA客戶端的私鑰路徑可以自定義。

[root@CentOS6 ~]#(umask 066;openssl genrsa -out /app/service.key 2048)
Generating RSA private key, 2048 bit long modulus
........+++
..................+++
e is 65537 (0x10001)
[root@CentOS6 ~]#ll /app
total 4
-rw-------. 1 root root 1675 Jul 15 09:16 service.key

2朝卒、在需要使用證書的主機生成證書請求文件

[root@CentOS6 ~]#openssl req -new -key /app/service.key -out /app/service.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GUANGDONG
Locality Name (eg, city) [Default City]:SHENZHEN
Organization Name (eg, company) [Default Company Ltd]:Magedu.com
Organizational Unit Name (eg, section) []:beiguoxia
Common Name (eg, your name or your server's hostname) []:www.magedu.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3证逻、

[root@CentOS6 ~]#scp /app/service.csr 192.168.5.133:/etc/pki/CA/csr
root@192.168.5.133's password: 
service.csr                                        100% 1025     1.0KB/s   00:00

在CA服務(wù)端頒發(fā)證書:

[root@CentOS7 CA]#openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.cer -days 100
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jul 17 12:43:54 2017 GMT
            Not After : Oct 25 12:43:54 2017 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = GUANGDONG
            organizationName          = Magedu.com
            organizationalUnitName    = beiguoxia
            commonName                = www.magedu.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                AA:35:D0:2E:EF:8C:91:59:98:FD:7A:96:6A:75:36:4E:97:1D:3A:30
            X509v3 Authority Key Identifier: 
                keyid:91:B1:F6:B0:EA:2A:3F:A2:F8:93:A7:11:75:44:D4:2C:67:2E:2E:31

Certificate is to be certified until Oct 25 12:43:54 2017 GMT (100 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

系統(tǒng)提示已生成證書,并更新了數(shù)據(jù)庫抗斤。我們可以看一下

[root@CentOS7 CA]#tree `/etc/pki/CA`
-bash: /etc/pki/CA: Is a directory
.
├── cacert.pem
├── certs
│   └── service.cer
├── crl
├── csr
│   └── service.csr
├── index.txt
├── index.txt.attr
├── index.txt.old
├── newcerts
│   └── 01.pem
├── private
│   └── cakey.pem
├── serial
└── serial.old
[root@CentOS7 CA]#cat serial
02

可以看到囚企,serial文件的下一個證書序列號從01丈咐,變成02了。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末洞拨,一起剝皮案震驚了整個濱河市扯罐,隨后出現(xiàn)的幾起案子负拟,更是在濱河造成了極大的恐慌烦衣,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,214評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件掩浙,死亡現(xiàn)場離奇詭異花吟,居然都是意外死亡,警方通過查閱死者的電腦和手機厨姚,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,307評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門衅澈,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人谬墙,你說我怎么就攤上這事今布。” “怎么了拭抬?”我有些...
    開封第一講書人閱讀 152,543評論 0 341
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵部默,是天一觀的道長。 經(jīng)常有香客問我造虎,道長傅蹂,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 55,221評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任算凿,我火速辦了婚禮份蝴,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘氓轰。我一直安慰自己婚夫,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 64,224評論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布署鸡。 她就那樣靜靜地躺著案糙,像睡著了一般。 火紅的嫁衣襯著肌膚如雪储玫。 梳的紋絲不亂的頭發(fā)上侍筛,一...
    開封第一講書人閱讀 49,007評論 1 284
  • 城市分裂傳說
    那天,我揣著相機與錄音撒穷,去河邊找鬼匣椰。 笑死,一個胖子當(dāng)著我的面吹牛端礼,可吹牛的內(nèi)容都是我干的禽笑。 我是一名探鬼主播入录,決...
    沈念sama閱讀 38,313評論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼佳镜!你這毒婦竟也來了僚稿?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 36,956評論 0 259
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤蟀伸,失蹤者是張志新(化名)和其女友劉穎蚀同,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體啊掏,經(jīng)...
    沈念sama閱讀 43,441評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡蠢络,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 35,925評論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了迟蜜。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片刹孔。...
    茶點故事閱讀 38,018評論 1 333
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖娜睛,靈堂內(nèi)的尸體忽然破棺而出髓霞,到底是詐尸還是另有隱情,我是刑警寧澤畦戒,帶...
    沈念sama閱讀 33,685評論 4 322
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布方库,位于F島的核電站,受9級特大地震影響兢交,放射性物質(zhì)發(fā)生泄漏薪捍。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,234評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一配喳、第九天 我趴在偏房一處隱蔽的房頂上張望酪穿。 院中可真熱鬧,春花似錦晴裹、人聲如沸被济。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,240評論 0 19
  • 一樁弒父案涧团,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽只磷。三九已至,卻和暖如春泌绣,著一層夾襖步出監(jiān)牢的瞬間钮追,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,464評論 1 261
  • 情欲美人皮
    我被黑心中介騙來泰國打工阿迈, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留元媚,地道東北人。 一個月前我還...
    沈念sama閱讀 45,467評論 2 352
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像刊棕,于是被迫代替她去往敵國和親炭晒。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 42,762評論 2 345

推薦閱讀更多精彩內(nèi)容

  • 1 概述 本文之所以稱之為半自動化甥角,是因為證書的申請并非日常工作网严,只是一段時間才需要申請,同時嗤无,在創(chuàng)建證書和辦法證...
    ghbsunny閱讀 2,140評論 0 1
  • CA和證書安全協(xié)議(SSL/TLS)OpenSSH 一震束、CA和證書 (一) PKI(Public Key Infr...
    哈嘍別樣閱讀 1,383評論 0 0
  • 一驴一、我吃飯很快怎么辦休雌? 對于我來說灶壶,每一分的時間都希望把它充實,當(dāng)然每個人都有各自的生活杈曲,工作和學(xué)習(xí)的節(jié)奏驰凛,但時間...
    KK要瘦身閱讀 797評論 3 5
  • 回去的路上 在地鐵上向外張望 同樣的時間,同樣的地點 已不見藍天模樣 夜長了担扑,夏天已過去 這個夏天恰响,是一顆顆水珠串...
    大魚天草閱讀 354評論 0 1
  • 這兩天的鬼天氣簡直鬼到?jīng)]朋友作為一個新晉段手我得搞搞事情...宿舍有一兄弟上完廁所就有不可描述的氣味排風(fēng)扇開了都沒...
    城管隊長閱讀 101評論 0 0