码迷,mamicode.com
首页 > 其他好文 > 详细

创建私有CA

时间:2019-01-26 17:06:37      阅读:197      评论:0      收藏:0      [点我收藏+]

标签:查看   保存   配置文件   cp命令   ext   tls   根据   echo   对比   

创建私有CA
openssl的配置文件:/etc/pki/tls/openssl.cnf
(1)创建所需要的文件
touch index.txt
echo 01 > serial
(2)CA自签证书
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.perm
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days:证书的有效期限
-out:/PATH/TO/SOMECERTFILE证书的保存路径:
(3)发证
(a)用到证书的主机生成证书请求
(umask 077;openssl genrsa -out /data/test.key 2048)
openssl req -new -key /data/test.key -days 365 -out /data/test.csr
(b)把请求文件传输给CA
scp /data/test.csr 主机ip
(c) CA签署证书,并将证书发还给请求者
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
还给请求者用scp命令
查看证书中的信息
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -text|-subject|-serail|dates|issuer
(4)吊销证书
(a)客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -serial -subject
(b)CA
先根据客户提交的serial与subject信息 ,对比检验是否与index.txt文件中的信息一致
吊销证书
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(c)生成吊销证书的编号(第一次吊销时需要执行下面的命令)
echo 01 >/etc/pki/CA/crlnumber
(d)更新证书吊销列表
openssl ca -gencrl -out thisca.crl
查看crl文件
openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

创建私有CA

标签:查看   保存   配置文件   cp命令   ext   tls   根据   echo   对比   

原文地址:http://blog.51cto.com/14128869/2346886

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!