码迷,mamicode.com
首页 > 其他好文 > 详细

0029openssl

时间:2018-07-26 18:49:05      阅读:190      评论:0      收藏:0      [点我收藏+]

标签:更新   传输   空格   email   clr   ssl协议   index   openssl   style   

ssh协议另外一种实现:dropbear

openssl
    三个组件
        openssl:多用途的命令行工具
        libcrypto:加密解密库
        libssl:是ssl协议的实现

    PKI:Public Key Infrastructure
        CA
        RA
        CRL
        证书存取库
    
    建立私有CA
        OpenCA
        openssl
    证书申请及签署步骤:
        1、生成申请请求(需要提供国家、身份、邮箱等信息)
        2、RA核验
        3、CA签署
        4、获取证书

    创建私有CA
        #默认配置文件,CA_default默认配置
        cat /etc/pki/tls/openssl.cnf 
                 配置信息
                CA_default
                dir=/etc/pki/CA 工作目录
                certs=$dir/certs 已签署证书
                crl_dir=$dir/crl 证书吊销列表
                database=$dir/index.txt 证书索引列表
                new_certs_dir=$dir/newcerts 刚刚签署证书存放目录
                certificate=$dir/cacert.pem ca自己的证书,公钥
                private_key= $dir/private/cakey.pem #自己的私钥
                clr=$dir/crl.pem 当前正在使用的crl
                serial=$dir/serial 证书序列号
                crlnumber=$dir/crlnumber 吊销序序列号
                default_day=365 证书有效期
        #1、创建所需要的文件
            cd /etc/pki/CA
            touch index.txt
            echo 01 > serial #01后面要有空格
        #2、CA自签证书
            #生成私钥文件
            (umask 077;openssl genrsa -out private/cakey.pem 2048)
            #生成自签证书
            openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
                        Country Name:CN
                        State or Pro....:Beijing
                        Organization Name:MageEdu
                        Organization Unit Name:Ops
                        Common Name:ca.mageedu.com
                        Email Address:caadmin@magedu.com

                -new:生成新证书签署请求
                -x509:专用于CA生成自签证书
                -key:生成请求时用到的私钥文件
                -days n:证书的有效期限
                -out /path/to/somewhere:证书的保存路径

            #发证
                1、用到证书的主机生成证书请求
                2、把请求文件传输给CA
                3、CA签署证书,并将证书发还给请求
                    cd /etc/httpd
                    mkdir ssl
                    #生成私钥
                    (umask 077;openssl genrsa -out httpd.key 2048)
                    #生成请求
                    openssl req -new -key httpd.key -days 365 -out httpd.csr
                                #与自签证书信息保持一致
                        Country Name:CN
                        State or Pro....:Beijing
                        Organization Name:MageEdu
                        Organization Unit Name:Ops
                        Common Name:www.magedu.com
                        #域名是客户端使用的域名
                        Email Address:webadmin@magedu.com
             #传到CA服务器
             scp httpd.csr root@172.16.100.6:/tmp
            
           4、切换到CA服务器
                #签署证书
                openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365
                #查看更新结果
                cat index.txt
                ls newcerts
                #把证书传给客户端
                        scp /tmp/httpd.crt root@192.168.123.5:/etc/httpd/ssl
       
                    5、吊销证书
                        1、客户端获取要吊销的证书的serial
                            openssl -x509 -in /path/from/cert_file -noout -serial -subject
                        2、CA
                            检查serial subjec信息和index.txt文件对比
                            openssl ca -revoke /etc/pki/CA/newcerts/SERTAL.pem
                        3、生成吊销证书的编号(第一次吊销一个证书)
                            echo 01 > /etc/pki/CA/crlnumber
                        4、更新证书吊销列表
                            openssl ca -gencrl -out thisca.crl
                            查看crl文件
                            openssl crl -in /path/from/crl_file.crl -noout -text


0029openssl

标签:更新   传输   空格   email   clr   ssl协议   index   openssl   style   

原文地址:https://www.cnblogs.com/linux777/p/9372885.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!