创建私有CA:
openssl的配置文件:/etc/pki/tls/openssl.cnf
1.创建所需要的文件
#touch index.txt
#echo 01 > serial
#
2.给CA发证 <CA自签证书>
#(umask 077; openssl genrsa -out private/cakey.pem 2048)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
关于req后面的几个常用选项:
-new: 生成新证书签署请求;
-x509: 专用于CA生成自签证书;
-key: 生成请求时用到的私钥文件;
-days n: 证书的有效期限;
-out /PATH/TO/SOMECERTFILE : 证书的保存路径;
3.发证
1.用到证书的主机生成证书请求;
# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
2.把请求文件传输给CA;
3.CA签署证书,并将证书发还给请求者;
#openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看证书中的信息
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial
4.吊销证书
1.客户端获取要吊销的证书的序列号serial
openssl x509 -in /path/from/cert_file -noout -subject
2.CA端
先根据客户端提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;
吊销证书
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
3.生成吊销证书编号(第一次吊销一个证书)
echo 01 > /etc/pki/CA/crlnumber
4.更新证书吊销列表
openssl ca -gencrl -out thisca.crl
查看crl文件:
openssl crl -in /path/from/crl_file.crl -noout -text
原文地址:http://limingyu.blog.51cto.com/12564998/1953860
