写在前面:如果此文有幸被某位朋友看见并发现有错的地方,希望批评指正。如有不明白的地方,愿可一起探讨。

建立CA服务器

1.初始化工作环境

# cd /etc/pki/CA/

# touch index.txt

# touch serial

# echo 10000 > serial

# mkdir /etc/pki/CA/csr

# mkdir /etc/pki/CA/crt

 说明:

/etc/pki/CA目录用于存储所有的密钥和证书;

index.txt和serial文件数据库帮助你跟踪所有密钥和证书;

2.生成密钥

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

3.自签署证书

# cd /etc/pki/CA

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out ./cacert.pem -days 3655

节点生成证书请求并发送给CA服务器

1.节点生成密钥对

# mkdir /etc/httpd/ssl

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

2.节点生成证书签署请求

# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr

3.将生成的证书签署请求发送给CA服务器

# scp /etc/httpd/ssl/httpd.csr 172.16.115.1:/etc/pki/CA/csr/test.csr

CA签署客户端证书签署请求

1.验证证书中的信息

2.签署证书

# openssl ca -in /etc/pki/CA/csr/httpd.csr -out /etc/pki/CA/crt/httpd.crt -days 365

3.将签署后的证书发送给请求者

# scp /etc/pki/CA/crt/httpd.crt 172.16.115.100:/etc/httpd/ssl/

CA吊销证书

1.节点获取证书serial

# openssl x509 -in /etc/httpd/ssl/httpd.crt -noout -serial -subject

2.CA验证节点提交的serial和subject信息是否与index.txt文件中的信息一致

3.CA吊销证书

# openssl ca -revoke /etc/pki/CA/newcerts/02.pem

4.生成吊销证书的编号(如果CA是第一次吊销证书)

# echo 00 > /etc/pki/CA/crlnumber

5.更新证书吊销列表

# openssl ca -gencrl -out /etc/pki/CA/crl/thisca.crl

6.查看crl文件的内容(如果有必要)

# openssl crl -in /etc/pki/CA/thisca.crl -noout -text

转载于:https://blog.51cto.com/muluhe/1534591

创建私有CA及其签署和吊销证书相关推荐

  1. Linux 创建一个简单的私有CA、发证、吊销证书

    操作环境:Centos 6.RHEL 6 操作虚拟机:VMware 本实验基于OpenSSL实现,SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供 ...

  2. Centos7中创建RSA非对称密钥对及搭建私有CA并为客户端颁发证书

    Centos7中创建RSA非对称密钥对及搭建私有CA并为客户端颁发证书 1.在centos7中使用gpg创建RSA非对称密钥对 [13:32:55 root@centos7 data]#gpg --g ...

  3. Openssl加密文件及创建私有CA及证书

    # cat /etc/redhat-release CentOS release 6.6 (Final) # uname -r 2.6.32-504.el6.x86_64 首先我们先演示加密文件的方式 ...

  4. 自签名证书和私有CA签名的证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名

    自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有CA ...

  5. 自建ca根证书_如何创建私有 CA 并签发证书

    为什么需要自己的 CA? 因为公共 CA (比如排名前几的这几家:Comodo, Symantec, GlobalSign, DigiCert, StartCom)颁发证书要收费,而且价格很贵.当然现 ...

  6. openssl 创建私有CA

    创建私有CA: openssl的配置文件:/etc/pki/tls/openssl.cnf 1.创建所需要的文件 #touch index.txt #echo 01 > serial # 2.给 ...

  7. 创建私有CA及私有CA的使用

    CA分为公共信任CA和私有CA,若想使用公共信任的CA需要很多的money,如果想要在有限范围内使用CA认证方式,可以自己创建一个.下面了解一下CA及其创建方法: CA的配置文件为 /etc/pki/ ...

  8. linux加密解密基础、PKI及SSL、创建私有CA

    linux加密解密基础.PKI及SSL.创建私有CA 1.加密解密基础:            数据在网络中传输过程中要保证三个要点: (1)数据的完整性:防止数据在传输过程中遭到未授权用户的破坏或篡 ...

  9. openssl创建私有ca

    openssl创建私有ca 1.ssl大概内容 PKI:公钥基础设施结构 CA:证书权威机构,PKI的核心 CRL:证书吊销列表,使用证书之前需要检测证书有效性 证书存储格式常见的X509格式 包含内 ...

最新文章

  1. 初识 Knative: 跨平台的 Serverless 编排框架
  2. Java HotSpot VM 命令行参数【官方版】
  3. POJ-2524-Ubiquitous Religions
  4. mysql是面向对象的语言吗_php一种面向对象的语言,那么什么是面向对象呢?
  5. 不同浏览器css引入外部字体的方式
  6. 11 如何通过 “副本传输” 传输从DEV到QAS的请求号
  7. 11988 - Broken Keyboard (a.k.a. Beiju Text)
  8. 文字转语音文件的两种方法
  9. 【飞控理论】从零开始学习Kalman Filters之三:非线性状态估算器
  10. jQuery 表单应用:全选/取消全选,表单验证,网页选项卡切换
  11. 详解Parcel:快速,零配置web应用打包工具
  12. 轻量级网络模型之ShuffleNet
  13. chromedriver 下载_解决ChromeDriver安装与配置问题
  14. 数学标记语言MathML简介、工具及兼容
  15. ESP32WebSocket
  16. 自动控制原理学习笔记--反馈控制系统的动态模型
  17. 空间坐标系对应EPSG编号
  18. IAR 7.4版本安装(带下载链接)
  19. css重复,CSS小课堂之可重复渐变
  20. Lucene的各中文分词比较

热门文章

  1. 深入理解分布式之抉择分布式锁
  2. CPU 漏洞补丁对内核性能影响:4.15 比 4.11 快 7-9%
  3. 《CUDA C编程权威指南》——2.2 给核函数计时
  4. P2P网络借贷系统-核心功能-用户投标-业务解说
  5. 用ES6 Generator替代回调函数
  6. 运行HelloJersey遇到异常解决方法
  7. API各函数作用简介
  8. [转载] 老友记——潘石屹 任志强《天台论道》(下)
  9. test软件工程第三次作业
  10. Linux 基本命令(一)--ls 常用命令