一些概念:
PKI:Public Key Infrastructure
- 签证机构:CA(Certificate Authority)
- 注册机构:RA(Register Authority)
- 证书吊销列表:CRL(Certificate Revoke Lists)
- 证书存取库
X.509:定义了证书的结构和认证协议的标准。包括版本号、序列号、签名算法、颁发者、有效期限、主体名称、主体公钥、CRL分发点、扩展信息、发行者签名等
获取证书的两种方法:
- 使用证书授权机构
- 生成签名请求(csr)
- 将csr发送给CA
- 从CA处接收签名
- 自签名的证书
- 自已签发自己的公钥
重点介绍一下自建CA颁发机构和自签名。
自建CA颁发机构和自签名
实验用两台服务器,一台做ca颁发证书,一台去请求签名证书。
证书申请及签署步骤:
- 生成申请请求
- CA核验
- CA签署
- 获取证书
我们先看一下openssl的配置文件:/etc/pki/tls/openssl.cnf
- CA签署证书,并将证书颁发给请求者