手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

创建私有CA并签发证书

[日期:2018-06-03] 来源:Linux社区  作者:cuizhaoyue [字体: ]

一、创建私有CA
  1、创建所需要的文件
  

  2、创建私有密钥
  

  3、CA自签证书
  
    -new: 生成新证书签署请求;
               -x509: 专用于CA生成自签证书;不自签的时候不要加该选项
               -key: 生成请求时用到的私钥文件;
              -days n:证书的有效期限;
              -out /PATH/TO/SOMECERTFILE: 证书的保存路径;

    填写信息时,Common Name选项一定要与写成服务器名字,和DNS解析出来的名字一致。
    谁访问自己就把CA证书给客户端一份,就可以信任自己这个证书颁发机构了


二、证书颁发
  1、在web服务器生成证书请求
    # mkdir -v /etc/httpd/ssl
    # cd /etc/httpd/ssl
    

    2、将证书请求发送给CA服务器。
    

    3、在CA服务器上签署证书
    

    4、将证书发送给web服务器
    

    查看证书信息:
                    openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

三、吊销证书:

   (a) 客户端获取要吊销的证书的serial
                # openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
            (b) CA端
                先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;
                吊销证书:
                    # openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
            (c) 生成吊销证书的编号(第一次吊销一个证书)
                # echo 01 > /etc/pki/CA/crlnumber
            (d) 更新证书吊销列表
                # openssl ca -gencrl -out thisca.crl
                查看crl文件:
                    # openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text
 
本文永久更新链接地址https://www.linuxidc.com/Linux/2018-06/152694.htm
linux
相关资讯       私有CA 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款