CA自建和证书申请

标签：linux自建ca和证书颁发

CA简介：CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

证书简介：现在我们通过浏览器访问网站，一般都有证书的，这些证书就是有CA颁发的，证明你这个网站是可靠的，尤其是一些购物网站，如：淘宝，京东，我们可以查看网站的源码来查看他的证书（F12）找到Security查看。

LINUX模拟CA的建立和证书的申请

如何实现：

我们模拟把主机A当做根CA自建一个，主机B通过Openssl命令来模拟申请证书。

openssl配置文件：

/etc/pki/tls/openssl.cnf 我们找到CA和policy_match部分了解CA相关文件的存放和证书存放的文件。

dir= /etc/pki/CA CA相关文件的主目录

certs= $dir/certs 存放发布证书的文件

crl_dir= $dir/crl     证书吊销列表

database= $dir/index.txt 证书编号[默认不存在，要手动创建，不然会报错]

new_certs_dir= $dir/newcerts 新颁发证书存放目录

certificate= $dir/cacert.pem   CA服务端的自签名证书

serial= $dir/serial  下一个将要颁发证书的序列号 [默认不存在，要手动创建，不然会报错]

crlnumber= $dir/crlnumber 吊销证书的编号

crl= $dir/crl.pem  吊销证书存放的文件

private_key= $dir/private/cakey.pem证书的私钥存放文件

policy= policy_match

# For the CA policy

[ policy_match ]

countryName= match       国家

stateOrProvinceName= match   省市

organizationName= match       公司名称

organizationalUnitName= optional   公司单元名 可以不填 随便怎么翻译吧= =

commonName= supplied   名字

emailAddress= optional    邮箱

其中match表示自建根CA和申请证书时所填信息必须一致，optional可写可不写，supplied要写可以不一样。

主机A的配置

建立文件：

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

生成私钥文件

命令：（umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048) 

括号里定义umask进入子进程，只修改私钥文件的权限 -des3是对私钥文件进行加密  [文件名是特定的，不能更改]

生成一个自签名CA证书

openssl req -new -x509 –key/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem      [文件名是特定的，不能更改]

-new: 生成新证书签署请求

-x509: 专用于CA生成自签证书

-key: 生成请求时用到的私钥文件

-days n：证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存

自签名CA填写信息如上图，根据policy可知其中前124选项为match必须匹配，第5选项为supplied，为颁发者的名字，其他可以不填。

这样我们的自签名CA的相关文件就准备好了。

主机B的配置：

生成自己的私钥：还是一样的命令

（umask 066;openssl genrsa -out /etc/pki/tls/private/wrz.key 2048）2048 指定位数

生成证书申请文件

openssl req -new -key /etc/pki/tls/private/wrz.key -days 365 -out /etc/pki/tls/wrz.csr 这是出现的界面和生成自签CA一样，需要填写信息

其中124选项在policy中为match，所以要和自签CA时填写的一致，第6项为被颁发的名称。其他可填可不填。

将证书申请文件发送到主机A上：scp /etc/pki/tls/wrz.csr 192.168.109.159:/etc/pki/CA/

主机A收到证书申请文件

CA签署证书，给请求者颁发证书

命令：openssl ca -in /etc/pki/tls/wrz.csr -out /etc/pki/CA/certs/wrz.crt -days 365 然后出现确认信息无误后就可以签名颁发证书了。

用sz命令把linux上生成的证书发送到Windows上，修改下后缀为.per 安装证书，这样就完成了自签CA和证书颁发的过程。

CA自建和证书申请

标签：linux自建ca和证书颁发

原文地址：http://13287454.blog.51cto.com/13277454/1968050