码迷,mamicode.com
首页 > 系统相关 > 详细

Linux搭建CA服务

时间:2018-12-03 20:00:31      阅读:331      评论:0      收藏:0      [点我收藏+]

标签:相关配置   相关   alt   cep   ffd   库文件   ble   code   img   

什么是CA认证?

CA认证,即CA认证机构,为电子签名相关各方提供真实性、可靠性验证的行为。

什么是CA证书?

证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

CA证书类型?

  • 证书颁发机构自签名证书
  • 服务器证书
  • 用户证书

Linux系统如何搭建CA服务?

1.安装相关工具:openssl
yum install openssl -y
2.openssl相关配置文件:/etc/pki/tls/openssl.cnf
指定默认使用的CA

[ ca ]
default_ca      = CA_default            # The default ca section
CA的相关配置
[ CA_default ]
dir             = /etc/pki/CA               ?    ?    ?    ?# Where everything is kept,CA的工作目录
certs           = $dir/certs                ?    ?         # Where the issued certs are kept,已经颁发的证书存放目录
crl_dir         = $dir/crl                  ?    ?        ?  ? # Where the issued crl are kept,证书吊销列表存放目录
database        = $dir/index.txt            ?      ? # database index file,证书的索引数据库

new_certs_dir   = $dir/newcerts             ?   # default place for new certs,新证书存放目录
certificate     = $dir/cacert.pem           ?    ? # The CA certificate,CA证书
serial          = $dir/serial               ?    ?    ?    ?# The current serial number,当前证书编号
crlnumber       = $dir/crlnumber            ?  # the current crl number,当前吊销证书编号

crl             = $dir/crl.pem              ?    ?    ?   # The current CRL,当前的吊销证书
private_key     = $dir/private/cakey.pem # The private key,CA私钥
RANDFILE        = $dir/private/.rand        ? # private random number file,随机文件

default_days    = 365                       ?    ?    ?# how long to certify for,证书有效期
default_crl_days= 30                        ?    ?    ?# how long before next CRL,发布证书 吊销列表的周期
default_md      = sha256                    ?    ?  # use SHA-256 by default,算法
preserve        = no                                    # keep passed DN ordering

policy          = policy_match    ?    ?    ?    ?    ?    ?#选择使用的策略类型
\# For the CA policy
[ policy_match ]    ?    ?    ?    ?    ?    ?    ?    ?    ?    ?#第一种策略
countryName             = match    ?    ?    ?    ?     ?#是否匹配国家
stateOrProvinceName     = match    ?    ?    ?    #是否匹配省

organizationName        = match    ?    ?    ?    ?  #是否匹配组织名称
organizationalUnitName  = optional    ?    ?   #是否单元名称
commonName              = supplied    ?    ?    ?  #通用名
emailAddress            = optional    ?    ?    ?    ?   #邮箱

# For the ‘anything‘ policy
# At this point in time, you must list all acceptable ‘object‘
# types.
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

3.创建CA

(1)创建索引数据库文件和指定证书编号 ? ? ?

touch /etc/pki/CA/index.txt
echo 01 >/etc/pki/CA/serial

(2)CA自签名证书

生成私钥:

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成自签名证书:

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

技术分享图片
(3)客户端创建申请文件
生成客户端私钥:

(umask 066;openssl genrsa -out app.key 1024)

生成申请文件:

 openssl req -new -key app.key -out app.csr

技术分享图片
将生成的申请文件发送到CA颁发服务器

scp app.csr 192.168.128.130:/etc/pki/CA/

(4)CA服务器为客户端颁发证书

openssl ca -in app.csr -out certs/app.crt -days 100

技术分享图片
(5)将生成的证书发送给申请的客户端

 scp certs/app.crt 192.168.128.129:

证书吊销
生成吊销证书序号文件

echo 01 >crlnumber

吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

生成吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

注意事项:
1.必须要提前创建证书数据库引导文件/etc/pki/CA/index.txt
2.指定证书编号,证书颁发完成后会自动更新证书序号

Linux搭建CA服务

标签:相关配置   相关   alt   cep   ffd   库文件   ble   code   img   

原文地址:http://blog.51cto.com/zchui/2325311

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!