系统中搭建CA

CA的配置文件

vim /etc/pki/tls/openssl.cnf

默认 CA_default  (可建多个)

[ CA_default ]

dir             = /etc/pki/CA      # Where everything is kept  CA的工作目录

certs           = $dir/certs        # Where the issued certs are kept 存放证书的地方

crl_dir          = $dir/crl          # Where the issued crl are kept   证书吊销列表

database        = $dir/index.txt    # database index file.  存放证书信息的数据库,需要手工创建

new_certs_dir   = $dir/newcerts     # default place for new certs. 新证书默认放此文件夹

certificate     = $dir/cacert.pem     # The CA certificate   CA的证书文件

serial          = $dir/serial      # The current serial number 下一个要颁发的证书序列号(16进制数)

crlnumber       = $dir/crlnumber   # the current crl number下一个要吊销证书的序列号

crl             = $dir/crl.pem         # The current CRL   证书吊销列表

private_key     = $dir/private/cakey.pem # The private key    存放私钥

RANDFILE        = $dir/private/.rand   # private random number file 生成随机数

x509_extensions = usr_cert            # The extentions to add to the cert  不关键

policy          = policy_match   策略匹配

[ policy_match ]

countryName             = match   国家必须匹配

stateOrProvinceName      = match    省

organizationName         = match    公司名

organizationalUnitName    = optional  (可选的)

commonName            = supplied   必须提供不能空 一般为网站名域名

emailAddress             = optional    邮箱可写可不写

实验:向CA申请证书

进入到CA文件夹

1.建立RootCA

  • 生成私钥匙

(umask 077; openssl genrsa –out private/cakey.pem 4096)

      2)自签名证书

       openssl req -new -x509 -key private/cakey.pem -out cacert.pem -deys 3650

-new   建一个新申请

-x509  表示自签名 不加表示是普通证书

-key: 生成请求时用到的私钥文件

-days n:证书的有效期限

-out / PATH/TO/SOMECERTFILE : 证书的保存路径

CN 表示中国

beijing 省,市

查看证书里的内容 openssl x509 -in cacert.pem -noout -text

也可以传到windows里看,改成cer或crt后缀

2.用户或服务器

      1)生成私钥

(umask 077; openssl genrsa –out test.key –des 2048)

      2)生成证书申请文件

         openssl req -new -key text.pem -out text.csr

.csr 申请证书文件后缀

部门可不一致前面要一致

      3)将申请文件发给CA

         scp app.csr 192.168.30.111:/etc/pki/CA

注意:默认国家,省,公司名称三项必须和CA一致

3 .CA颁发证书

      touch  /index.txt  (不创建会提示错误)

echo 0F(可自己指定) >serial

openssl ca -in app.csr -out certs/app.crt -days 100

4.证书发送客户端

         scp certs/app.crt 192.168.30.6:/date (传回给申请者)

5.应用软件使证书

 

一个证书申请,可以申请几个证书

默认不允许

需要改这个文件 vim index.txt.attr

证书管理

查看证书中的信息

openssl x509 -in  /PATH/FROM/CERT_FILE  -noout -text|issuer|subject|serial|dates

openssl ca -status 证书编号  查看指定编号的证书状态

吊销证书

在客户端获取要吊销的证书的serial

openssl x509 -in / PATH/FROM/CERT_FILE -noout -serial -subject

在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,

吊销证书:openssl ca -revoke /etc/pki/CA/newcerts/编号 .pem、

R表示已吊销

V 表示在使用

指定第一个吊销证书的编号 ,

注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

查看crl文件:

openssl crl -in /etc/pki/CA/crl.pem -noout -text

其实有脚本可以做这个事

rpm -qp –s cripts /misc/cd/Packages/mod_ssl-2.4.6-67.el7.centos.x86_64.rpm

如何搭建CA(向CA申请证书)相关推荐

  1. CentOS8搭建实现私有CA和证书申请

    选项说明 -new:生成新证书签署请求 -x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out /PATH/TO/SOMECERTFILE: ...

  2. centos7搭建CA服务器颁发ssl证书

    2019年12月16日 星期一 CQCEE 使用ssl来保证web通信安全 apache服务器与客户机采用明文通信 对HTTP传输加密的协议为HTTPS,是通过ssl进行http传输的协议,它通过公用 ...

  3. Linux如何创建私有CA和申请证书

    openssl的配置文件:/etc/pki/tls/openssl.cnf 三种策略:匹配.支持和可选.匹配:指要求申请填写的信息跟CA设置信息必须一致:支持:指必须填写这项申请信息:可选:指可有可无 ...

  4. TLS就是SSL的升级版+网络安全——一图看懂HTTPS建立过程——本质上就是引入第三方监管,web服务器需要先生成公钥和私钥,去CA申请,https通信时候浏览器会去CA校验CA证书的有效性...

    起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的,但是还是可以通过抓包工具窃取到)是不安全的,为了解决这一隐患网景公司推出了SSL安全套接字协议层,SSL是基于 ...

  5. https证书互信解决方案—创建私有CA并申请证书

    前言 https相较于http而言有很大的安全性,当我们一个服务开启https并与之通信时,往往需要证书的认证,如果是浏览器访问服务,只要在浏览器内设置信任证书即可,而如果是程序内访问服务(如java ...

  6. 密码学专题 证书和CA指令 申请证书|建立CA|CA操作|使用证书|验证证书

    Req指令介绍 功能概述和指令格式 req指令一般来说应该是提供给证书申请用户的工具,用来生成证书请求以便交给CA验证和签发证书.但是,OpenSSL的req指令的功能远比这样的要求强大得多,它不仅可 ...

  7. 私有CA的创建和证书的申请

    创建CA和申请证书 1.创建私有CA和所需要的文件 openssl的配置文件:/etc/pki/tls/openssl.cnf touch /etc/pki/CA/index.txt 生成证书索引数据 ...

  8. 自建ca根证书_独立根CA的安装与证书申请

    独立根 CA 的安装与证书申请  独立根 CA 与企业 CA 不同,独立 CA 不需要使用 Active Directory 目录服务.独 立 CA 最初是为了用作 CA 层次结构中的受信任的脱机根 ...

  9. 实现CA证书创建及客户端申请证书

    author:JevonWei 版权声明:原创作品 CA证书的相关文件路径 openssl配置文件/etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf C ...

  10. Centos7创建CA和申请证书

    转载:http://rackie386.blog.51cto.com/11279229/1947999 Centos7.3创建CA和申请证书 openssl 的配置文件:/etc/pki/tls/op ...

最新文章

  1. javascript组件_是的,JavaScript运行Swift。 无论如何都要构建您的组件库。
  2. GNU Readline 库及编程简介【转】
  3. Docker cgroups作用(十)
  4. TiDB 官方设计文档翻译(一)
  5. FineReport——获取控件值和单元格值
  6. openlayer 图层上下_OpenLayers实现图层切换控件
  7. 如何用脚本可靠关闭一个linux服务或进程
  8. pb通过对象名称调用对象_C++ 可调用对象(二)
  9. 在Linux下安装和使用MySQL
  10. 20160828小结
  11. 如何克服枯燥工作带来的单调感和厌烦感
  12. 筑牢梅雨季用电“安全网”
  13. ios 启动图一键生成工具_[iOS]利用Appicon and Launchimage Maker生成并配置iOSApp的图标和启动页...
  14. 【加速 PyTorch 模型训练的 9 个技巧】
  15. 神策2020数据驱动用户大会:新愿景 + 新定位 + 新舰队正式亮相!
  16. Ubuntu搭建EDK2环境
  17. Unity3D说明文档翻译-Preferences
  18. MySQL操作数据库语法及常见MySQL面试题与答案
  19. server sent event
  20. 原始套接字透析之ICMP拒绝服务攻击

热门文章

  1. 浮点数float累加误差解决方式总结
  2. The import com. cannot be resolved
  3. 常用的各平台 hosts 文件位置
  4. C/C++可变参数列表参数处理方法va_list、va_start()、va_copy()、va_arg()、va_end()
  5. fantastic组需求分析
  6. 【寻找最佳小程序】03期:摩拜单车小程序——联合微信团队打造,实现不换码一扫即用
  7. 最新ubuntu搭建公网个人邮件服务器(基于postfix,dovecot,mysql)
  8. 【IoT】战略:BEM 战略解码 - 好的战略需要好的执行
  9. poj 2632 Crashing Robots
  10. 百度「联邦学习」战略全布局