openssl 建立ca和申請證書
===============================================================================
概述:
本章是上篇加密解密技術的續,主要介紹openssl建立ca、申請證書、辦法證書的整個操作,具體内容如下:
建立私有ca;
給節點頒發證書;
吊銷證書
詳情檢視上篇加密解密技術:http://1992tao.blog.51cto.com/11606804/1856438
1.建立ca
★數字證書的擷取有兩種方法: ☉向ra注冊申請即公共信任的ca; ☉自己建立私有ca openssl openca ★使用openssl建立私有ca的步驟: 在确定配置為ca的服務上生成一個自簽證書,并為ca提供所需要的目錄及檔案即可; ①生成私鑰; 私鑰用于簽發證書時,向證書添加數字簽名使用; ②生成自簽署證書; 證書:每個通信方都導入此證書至“受信任的證書頒發機構” ★openssl配置檔案: /etc/pki/tls/openssl.cnf ☉工作目錄: /etc/pki/ca
★具體步驟: ☉生成私鑰檔案/etc/pki/ca/private/cakey.pem # (umask 077;openssl genrsa -out /etc/pki/ca/private/cakey.pem 4096) ☉生成自簽證書; # openssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -out /etc/pki/ca/cacert.pem -days 3650 其中: -new:生成新證書簽署請求; -x509:生成自簽格式證書,專用于建立私有ca時; -key:生成請求時用到的私有檔案路徑; -days n:證書的有效時間,機關是day; -out /path/to/somecertfile:生成的請求證書路徑;如果自簽操作将直接生成簽署過得證書 ☉為ca提供所需的目錄及檔案 # mkdir /etc/pki/ca/{certs,crl,newcerts} (存在的話就不用建立了) # toouch /etc/pkl/ca/index.txt (資料庫檔案) # echo 01 > /etc/pki/ca/serial (序列号檔案并給明第一個證書的序列号碼)
2.給節點頒發證書
★給節點頒發證書 ☉要用到證書進行安全通信的伺服器,需要向ca請求簽署證書; ☉在證書申請的主機上進行如下步驟: 生成私鑰; 生成證書簽署請求; (注意:預設國家,省,公司名稱必須和ca一緻) 将請求通過可靠方式發送給ca主機 ☉在ca主機上簽發證書 驗證請求者資訊; 簽署證書; 把簽署好的證書發還給請求者
3.吊銷證書(了解)
★吊銷證書 ☉在用戶端擷取要吊銷的證書的序列号serial; # openssl x509 -in httpd.crt -noout -serial -subject ☉在ca上,根據客戶送出的serial與subject資訊,對比檢驗是否與index.txt檔案中的資訊一緻; ☉吊銷證書; # openssl ca -revoke /etc/pki/ca/newcerts/serial.pem 其中serial要替換成證書真正的序列号 ☉生成吊銷證書的編号(第一次吊銷證書時才需要執行); # echo 01 > /etc/pki/ca/crlnumber ☉更新證書吊銷清單 # openssl crl -gencrl -out thisca.crl
實驗:建立私有ca并給節點頒發證書
1.建立私有ca步驟示範:
1)生成私鑰檔案/etc/pki/ca/private/cakey.pem
2)生成自簽證書
3)為ca提供所需的目錄和檔案
2.給節點頒發證書步驟示範
假設centos 6為一個web伺服器,要向用戶端提供https服務就需要證書檔案,并把請求發送給ca進行簽署
1)在證書申請的主機上生成私鑰
2)生成證書簽署請求:
3)把請求發送給ca
4)ca簽發證書
5)把簽署好的證書發還給請求者
請求者檢視證書
總結:
