标签:更新 传输 空格 email clr ssl协议 index openssl style
ssh协议另外一种实现:dropbear
openssl
三个组件
openssl:多用途的命令行工具
libcrypto:加密解密库
libssl:是ssl协议的实现
PKI:Public Key Infrastructure
CA
RA
CRL
证书存取库
建立私有CA
OpenCA
openssl
证书申请及签署步骤:
1、生成申请请求(需要提供国家、身份、邮箱等信息)
2、RA核验
3、CA签署
4、获取证书
创建私有CA
#默认配置文件,CA_default默认配置
cat /etc/pki/tls/openssl.cnf
配置信息
CA_default
dir=/etc/pki/CA 工作目录
certs=$dir/certs 已签署证书
crl_dir=$dir/crl 证书吊销列表
database=$dir/index.txt 证书索引列表
new_certs_dir=$dir/newcerts 刚刚签署证书存放目录
certificate=$dir/cacert.pem ca自己的证书,公钥
private_key= $dir/private/cakey.pem #自己的私钥
clr=$dir/crl.pem 当前正在使用的crl
serial=$dir/serial 证书序列号
crlnumber=$dir/crlnumber 吊销序序列号
default_day=365 证书有效期
#1、创建所需要的文件
cd /etc/pki/CA
touch index.txt
echo 01 > serial #01后面要有空格
#2、CA自签证书
#生成私钥文件
(umask 077;openssl genrsa -out private/cakey.pem 2048)
#生成自签证书
openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
Country Name:CN
State or Pro....:Beijing
Organization Name:MageEdu
Organization Unit Name:Ops
Common Name:ca.mageedu.com
Email Address:caadmin@magedu.com
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /path/to/somewhere:证书的保存路径
#发证
1、用到证书的主机生成证书请求
2、把请求文件传输给CA
3、CA签署证书,并将证书发还给请求
cd /etc/httpd
mkdir ssl
#生成私钥
(umask 077;openssl genrsa -out httpd.key 2048)
#生成请求
openssl req -new -key httpd.key -days 365 -out httpd.csr
#与自签证书信息保持一致
Country Name:CN
State or Pro....:Beijing
Organization Name:MageEdu
Organization Unit Name:Ops
Common Name:www.magedu.com
#域名是客户端使用的域名
Email Address:webadmin@magedu.com
#传到CA服务器
scp httpd.csr root@172.16.100.6:/tmp
4、切换到CA服务器
#签署证书
openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365
#查看更新结果
cat index.txt
ls newcerts
#把证书传给客户端
scp /tmp/httpd.crt root@192.168.123.5:/etc/httpd/ssl
5、吊销证书
1、客户端获取要吊销的证书的serial
openssl -x509 -in /path/from/cert_file -noout -serial -subject
2、CA
检查serial subjec信息和index.txt文件对比
openssl ca -revoke /etc/pki/CA/newcerts/SERTAL.pem
3、生成吊销证书的编号(第一次吊销一个证书)
echo 01 > /etc/pki/CA/crlnumber
4、更新证书吊销列表
openssl ca -gencrl -out thisca.crl
查看crl文件
openssl crl -in /path/from/crl_file.crl -noout -text
0029openssl
标签:更新 传输 空格 email clr ssl协议 index openssl style
原文地址:https://www.cnblogs.com/linux777/p/9372885.html