Easy-RSA 3快速入门自述文件

Easy-RSA 3快速入门自述文件

这是使用Easy-RSA版本3的快速入门指南。运行./easyrsa -h可以找到有关使用和特定命令的详细帮助。可以在doc /目录中找到其他文档。

如果您从Easy-RSA 2.x系列升级,则可以使用doc-path下的Upgrade-Notes。

设置并签署第一个请求

以下是启动新PKI并签署您的第一个实体证书需要进行的快速运行:

  1. 选择一个系统作为您的CA并创建一个新的PKI和CA:

     ./easyrsa init-pki
     ./easyrsa build-ca
  2. 在请求证书的系统上,初始化其自己的PKI并生成密钥对/请求。请注意,当在单独的系统(或至少单独的PKI目录)上完成此操作时才使用init-pki 。这是建议的过程。如果您未使用此建议过程,请跳过下一个import-req步骤。

     ./easyrsa init-pki
     ./easyrsa gen-req EntityName
  3. 将请求(.req文件)传输到CA系统并导入它。此处给出的名称是任意的,仅用于命名请求文件。

     ./easyrsa import-req /tmp/path/to/import.req EntityName
  4. 将请求签名为正确的类型。此示例使用客户端类型:

     ./easyrsa sign-req client EntityName
  5. 将新签名的证书传输到请求实体。除非事先有副本,否则该实体可能还需要CA证书(ca.crt)。

  6. 该实体现在拥有自己的密钥对,签名证书和CA.

签署后续请求

按照上面的步骤2-6生成后续密钥对,并让CA返回签名证书。

撤销证书并创建CRL

这是CA特定的任务。

要永久撤消已颁发的证书,请提供导入期间使用的短名称:

./easyrsa revoke EntityName

要创建包含所有已撤销的证书的更新CRL,请执行以下操作:

./easyrsa gen-crl

生成后,需要将CRL发送到引用它的系统。

生成Diffie-Hellman(DH)参数

初始化PKI后,任何实体都可以创建需要它们的DH参数。这通常仅由TLS服务器使用。虽然CA PKI可以生成这个,但在服务器本身上执行它更有意义,以避免在生成后将文件发送到另一个系统。

DH params可以生成:

./easyrsa gen-dh

显示请求或证书的详细信息

要通过引用短EntityName来显示请求或证书的详细信息,请使用以下命令之一。没有匹配的文件调用它们是错误的。

./easyrsa show-req EntityName
./easyrsa show-cert EntityName

更改私钥密码

RSA和EC私钥可以重新加密,因此可以使用以下命令之一提供新密码,具体取决于密钥类型:

./easyrsa set-rsa-pass EntityName
./easyrsa set-ec-pass EntityName

可选地,可以使用'nopass'标志完全删除密码短语。有关详细信息,请参阅命令帮助

转载于:https://www.cnblogs.com/LuckWJL/p/9796814.html

你可能感兴趣的:(Easy-RSA 3快速入门自述文件)