【565net亚洲必赢】创建私有CA并签发证书,签发证

作者:计算机知识

壹、创制私有CA
  一、创制所供给的文本
  565net亚洲必赢 1

实验情况:

干什么要申请证书,因为发送数据的一方不分明创立连接的另1方是否伪造的,这年就不得不通过叁个高于的第一方,验证确认对方的身份。那个第2方正是CA,证书颁发机构,他的证书一般会在操作系统安装时就曾经松手到系统中了。这里以网址为例,具体流程为网址方发送温馨的表明申请文件给CA,包蕴本人的私钥和公钥,然后

  贰、创制私有密钥
  565net亚洲必赢 2

# cat /etc/redhat-release

成立私有CA

【565net亚洲必赢】创建私有CA并签发证书,签发证书。开创CA需求基于openssl的安插文件来钦赐期存款放的门路,那个文件为/etc/pki/tls/openssl.cnf,张开文件,这里只列出和开创CA有关的开始和结果:

[ ca ]
default_ca      = CA_default            # 使用哪个默认的证书区域,意思就是使用下边这个CA_default默认为CA的配置

[ CA_default ]

dir             = /etc/pki/CA           # 根目录,就是下面的$dir
certs           = $dir/certs            # 证书位置
crl_dir         = $dir/crl              # 吊销证书的位置
database        = $dir/index.txt        # 库索引文件位置
#unique_subject = no                    
new_certs_dir   = $dir/newcerts         # 新证书文件位置,这个是创建证书后系统自动生成的,和创建的证书文件一样
certificate     = $dir/cacert.pem       # CA自签名证书存放位置
serial          = $dir/serial           # 下一个证书的序号,会自动生成一个old文件,放的之前那个证书的序号
crlnumber       = $dir/crlnumber        # 下一个吊销证书的序号
crl             = $dir/crl.pem          # 
private_key     = $dir/private/cakey.pem       #私钥文件存放位置 
...
policy          = policy_match      #指定的策略(就是选择下边两个策略中的哪一个,也可以自己写一份策略,然后这里用新写的策略名字)

# 这里match表示申请方和CA发放方内容必须匹配,而optional就表示可以不同
[ policy_match ]                                     #创建私有证书的默认配置模板
countryName             = match               #国家
stateOrProvinceName     = match        #省份
organizationName        = match           #公司机构
organizationalUnitName  = optional     #部门
commonName              = supplied       #用户名
emailAddress            = optional           #邮箱

[ policy_anything ]                            #创建公共证书的默认配置模板
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

步骤:

  • 一.生成证书索引数据库文件
    [root@feng ~]# touch /etc/pki/CA/index.txt
  • 贰.生成证书类别号文件,钦赐第贰个序号为0一(这里序号必须为二人数,所以要写0一)
    [root@feng ~]# echo 01 > /etc/pki/CA/serial
  • 三.生成私钥,这里运用小括号,生成子进程,先写上umak,那样就足以将转变的文件权限设为600,成立完文件后子进程生命周期截止,不影响shell的umask。
[root@feng ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...   
...................................   
e is 65537 (0x10001)
  • 肆.开立自签订契约证书,输入如下命令
[root@feng ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

命令中的多少个参数:

  • -new: 生成新证书签署请求

  • -x50九: 专项使用于CA生成自签证书

  • -key: 生成请求时用到的私钥文件
  • 565net亚洲必赢,-days n:证书的限期限
  • -out /PATH/TO/SOMECERTFILE: 证书的保留路线

输入指令后就能够进去交互式分界面,注意安顿文件中安装的match的选项,申请人的音讯和CA的总得壹致。

Country Name (2 letter code) [XX]:CN     #选择国家,只能写两个字符   
State or Province Name (full name) []:henan   #选择省
Locality Name (eg, city) [Default City]:zhengzhou    #城市
Organization Name (eg, company) [Default CompanyLtd]:magedu.com    #公司
Organizational Unit Name (eg, section) []:IT    #部门
Common Name (eg, your name or your server's hostname) []:magedu   #姓名或者服务名主机名等
Email Address []:123@123     #邮箱

  三、CA自签证书
  565net亚洲必赢 3
    -new: 生成新证件签署请求;
               -x50玖: 专项使用于CA生成自签证书;不自签的时候不要加该选项
               -key: 生成请求时用到的私钥文件;
              -days n:证书的限期限;
              -out /PATH/TO/SOMECERTFILE: 证书的保留路径;

CentOS Linux release 7.3.1611 (Core)

申请证书

在服务端创设实现私有CA后,客户端就能够生成私钥并申请证书了(私钥放置的职务不是固定的,生成证书申请文件能找到路线就行)如下:

  • 一.生成私钥
[root@localhost ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/test.key 2048)
Generating RSA private key, 2048bit long modulus
...............................   
....................................................
   e is 65537 (0x10001)
  • 二.生成证书申请文件
[root@localhost ~]# openssl req -new -key /etc/pki/CA/private/test.key -out /etc/pki/tls/test.csr
#进入交互式界面,配置match的项必须和CA填写一致
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:magedu
Email Address []:123@123
A challenge password []:1234   #设置一个密码
  • 3.将表明请求文件传给CA
[root@localhost ~]# scp /etc/pki/tls/test.csrroot@192.168.0.234:/tmp

    填写消息时,Common Name选项一定要与写成服务器名字,和DNS分析出来的名字同样。

CA签署证书

  • 一.在CA服务端上依照客户端上传的证件请求文件,签署证书:
[root@feng ~]# openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365

四遍认同后,生成成功,然后将签发的证件传给申请端,就能够利用了。

    何人访问本身就把CA证书给客户端1份,就可以信赖本身这些注脚颁发机构了

CA:192.168.1.107

2、证书颁发
  一、在web服务器生成证书请求
    # mkdir -v /etc/httpd/ssl
    # cd /etc/httpd/ssl
    565net亚洲必赢 4

WEB:192.168.1.110

    贰、将证书请求发送给CA服务器。
    565net亚洲必赢 5

565net亚洲必赢 6

    三、在CA服务器上签名证书
    565net亚洲必赢 7

565net亚洲必赢 8

    四、将证件发送给web服务器
    565net亚洲必赢 9

565net亚洲必赢 10

    查看证书音讯:
                    openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

在CA:

本文由bwin必赢发布,转载请注明来源

关键词: 日记本 linux