码迷,mamicode.com
首页 > 其他好文 > 详细

创建私有CA详细图解

时间:2019-01-24 17:23:25      阅读:194      评论:0      收藏:0      [点我收藏+]

标签:umask   ges   传输   安全   技术分享   单向加密   text   cto   pat   

查看openssl的配置文件目录:/etc/pki/tls/openssl.cnf (定义了各类文件的文件名及所在目录)
技术分享图片
(1)创建所需要的文件
技术分享图片(在/etc/pki/CA目录下创建)
(2)CA自签证书
#(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 创建私钥
技术分享图片

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem (CA自签)
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的+私钥文件
-days n :证书有效期限
-out /PATH/TO/SOMECERTFILE:证书的保存路径
技术分享图片
(3)发证
(a)用到证书的主机生成证书请求
(umask 077;openssl genrsa -out /data/ssl/text.key 2048) 创建私钥
技术分享图片
openssl req -new -key /data/ssl/text.key -days 365 -out /data/ssl/text.csr (生成证书请求.csr文件结尾)
技术分享图片
最后会有一次单向加密的过程,因为接下来会把证书请求文件传输到CA主机,生产环境下安全起见最好设置,我这里实验环境就不设置了
(b)把请求文件传输给CA
scp /data/ssl/text.csr root@172.20.119.159:/data/
(c)CA签署证书,并将证书发还给请求者
openssl ca -in /data/text.csr -out /etc/pki/CA/certs/text.crt -days 365
技术分享图片
确认信息后需要再输入两次y,至此证书已生成,发还给请求者
查看 /etc/pki/CA/index.txt 与 serial
技术分享图片
index存放了证书信息
技术分享图片
serial记录的证书编号

查看证书中的完整信息
openssl x509 -in /etc/pki/CA/certs/text.crt -noout -text
技术分享图片

创建私有CA详细图解

标签:umask   ges   传输   安全   技术分享   单向加密   text   cto   pat   

原文地址:http://blog.51cto.com/14016126/2346327

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!