创建私有CA并签发证书

时间：2018-06-03 13:10:18 阅读：157 评论：0 收藏：0 [点我收藏+]

一、创建私有CA
　　1、创建所需要的文件
　　技术分享图片

　　2、创建私有密钥
　　技术分享图片

　　3、CA自签证书
　　技术分享图片
　　　　-new: 生成新证书签署请求；
-x509: 专用于CA生成自签证书；不自签的时候不要加该选项
-key: 生成请求时用到的私钥文件;
-days n：证书的有效期限；
-out /PATH/TO/SOMECERTFILE: 证书的保存路径；

填写信息时，Common Name选项一定要与写成服务器名字，和DNS解析出来的名字一致。

谁访问自己就把CA证书给客户端一份，就可以信任自己这个证书颁发机构了

二、证书颁发
　　1、在web服务器生成证书请求
　　　　# mkdir -v /etc/httpd/ssl
　　　　# cd /etc/httpd/ssl
　　　　技术分享图片

　　　　2、将证书请求发送给CA服务器。
　　　　技术分享图片

　　　　3、在CA服务器上签署证书
　　　　技术分享图片

　　　　4、将证书发送给web服务器
　　　　技术分享图片

　　　　查看证书信息：
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

三、吊销证书：
　　

　　　(a) 客户端获取要吊销的证书的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(b) CA端

先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致；

吊销证书：

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

# echo 01 > /etc/pki/CA/crlnumber

(d) 更新证书吊销列表

# openssl ca -gencrl -out thisca.crl

查看crl文件：

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

原文：https://www.cnblogs.com/cuizhaoyue/p/9128705.html

踩

(0)

评论一句话评论（0）

分享档案

更多>