创建私有CA

时间：2019-01-26 17:06:37 阅读：197 评论：0 收藏：0 [点我收藏+]

创建私有CA
openssl的配置文件：/etc/pki/tls/openssl.cnf
(1)创建所需要的文件
touch index.txt
echo 01 > serial
(2)CA自签证书
（umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048）
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.perm
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days:证书的有效期限
-out:/PATH/TO/SOMECERTFILE证书的保存路径：
(3)发证
（a）用到证书的主机生成证书请求
(umask 077;openssl genrsa -out /data/test.key 2048)
openssl req -new -key /data/test.key -days 365 -out /data/test.csr
（b）把请求文件传输给CA
scp /data/test.csr 主机ip
(c) CA签署证书，并将证书发还给请求者
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
还给请求者用scp命令
查看证书中的信息
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -text|-subject|-serail|dates|issuer
(4)吊销证书
（a）客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -serial -subject
(b)CA
先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致
吊销证书
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(c)生成吊销证书的编号（第一次吊销时需要执行下面的命令）
echo 01 >/etc/pki/CA/crlnumber
(d)更新证书吊销列表
openssl ca -gencrl -out thisca.crl
查看crl文件
openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

创建私有CA

标签：查看保存配置文件 cp命令 ext tls 根据 echo 对比

原文地址：http://blog.51cto.com/14128869/2346886

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行