OpenSLL之建立私有CA


一、CA证书的格式

数字证书的格式(x.509 v3):

版本号(version)

序列号(serial number):CA用于惟一标识此证书;

签名算法标志(Signature algorithm identifier)

发行者的名称:即CA自己的名称;

有效期:两个日期,起始日期和终止日期;

证书主体名称:证书拥有者自己的名字

证书主体公钥信息:证书拥有者自己的公钥;

发行商的惟一标识:

证书主体的惟一标识:

扩展信息:

签名:CA对此证书的数字签名;

二、建立自己的CA

使用OpenSSL构建私有CA的步骤:

1、生成私钥;

2、生成自签署证书;

(1) 私钥用于签发证书时,向证书添加数字签名使用;

(2) 证书:每个通信方都导入此证书至“受信任的证书颁发机构”;

配置文件:/etc/pki/tls/openssl.cnf

                wKiom1V1uZyR3mSsAABH3mUnJQ0204.jpg

工作目录:/etc/pki/CA/

                wKioL1V1u4STzomiAAB9YCIzauY677.jpg

三、开始建立私有CA:

1、生成私钥文件: /etc/pki/CA/private/cakey.pem

         wKioL1V2Qfvg_fZRAACPDShNnV0442.jpg                   

2、生成自签证书

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #

            -new: 生成新的证书签署请求;

            -key:私钥文件路径,用于提取公钥;

            -days N: 证书有效时长,单位为“天”;

            -out:输出文件保存位置;

            -x509:直接输出自签署的证书文件,通常只有构建CA时才这么用;

                                假如我们的公司在中国河南郑州叫MEITUAN,部门名称YOUHUI,网站叫www。meituan.com

                         wKiom1V2QIji4BgcAAHFgU__bsY898.jpg

3、提供必要的辅助文件以便将来别人向我申请证书时或撤销证书时,我可以自动记录他们的信息

                                在etc/pki/CA下创建index.txt文件

                                # touch /etc/pki/CA/index.txt

                                并创建serial目录文件,向文件你添加一个开始序号

                                # echo 01 > /etc/pki/CA/serial


四、向CA申请证书

    1.生成自己的私钥

    wKiom1V2QNCTn6NoAACz7IQgtAU617.jpg

    2.生成证书签署请求文件

     openssl req -new -key .. -out .. -days ..

     证书签署请求里面的选项除了common name一项填写自己的网站外,其余的必须与CA签发机构一致

wKiom1V2QTfTvXPoAAJMB-qB1Og426.jpg

    3.把请求文件发送给CA

     用优盘拷过去或者邮件发过去

五、CA签发证书

    1.验证请求者身份信息

    2.签署证书

openssl ca -in /etc/httpd/ssl/cakey.csr -out /etc/httpd/ssl/cakey.crt -days 365

wKioL1ZlRBPhe0X4AAAdvwH9UW0092.png

    3.把签好的证书发还给请求者

六、吊销证书

    1、获取吊销证书的序列号

     openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

    wKioL1V2RGOw--D6AABkusLV_D8938.jpg

    2、吊销证书

    openssl ca -revoke /PATH/FROM/CRT-FILE

wKioL1V2RLyBEd9yAABuc7WP3e8643.jpg

    3、生成吊销编号

    echo 01 > /etc/pki/CA/crlnumber

wKiom1V2Q2ey5VjVAAAnlQiQiFg420.jpg

好了。。就这了






你可能感兴趣的:(OpenSSL,建立私有CA)