OpenSSL建立私有CA

                     OpenSSL建立私有CA

 

  yum安装OpenSSL：

提示已经安装过了。

 

 

openssl的主配置文件：/etc/pki/tls/openssl.cnf

                       [CA_default]

                                 dir:CA的主目录

                                 certs:已颁发证书的存储位置

                                 crl_dir：已吊销证书的存储位置

                                 database：证书索引文件

                                 new_certs_dir：新颁发证书的存储位置

                                 certificate：CA证书文件

                                 serial：证书颁发时的当前序列号

                                 crlnumber：吊销证书的当前序列号

                                 crl：当前使用的CRL

                                 private_key:CA私钥

                                 RANDFILE：私有随机数生成器文件

 

 

 

构建私有CA大体步骤：

  构建私有CA服务器：

              1、生成私钥；

              2、CA服务器自签署证书；

 

     给节点发放证书：

 

              1、节点申请证书：

                       生成私钥

                       生成证书签署请求

                       把请求文件发送给CA

 

              2、CA签署证书：

                       验正请求者的信息

                       签署证书

                       把签署好的证书发还给请求者

 

 

构建过程和openssl命令的使用：

  

         一、建立私有CA

                       1、生成私钥文件

                                 # cd/etc/pki/CA

                                 # (umask 077;openssl genrsa -out private/cakey.pem 2048)

    

           生成2048字节的私钥保存为private目录下的cakey.pem,命令放在（）中表示命令在子shell中运行，命令中的umask与当前shell的umask不会冲突。

 

                      

2、生成自签署证书

                                 req子命令：生成PKCS#10格式的证书签署请求

 

                                          -new: 生成新的证书签署请求；

                                          -key/path/to/private_key_file：私钥文件路径；

                                          -daysn：证书有效时长；

                                          -out/path/to/request_file: 生成的证书请求文件路径；

                                          -x509:专用于CA生成自签署证书时；

 

                                          -newkeyrsa:NUM  无需事先专门生成私钥文件，而是生成请求时直接生成私成私钥，并提取公钥用于证书；

 

                                 # openssl req-new -x509 -key private/cakey.pem -days 3655 -out cacert.pem

          

          创建自签署证书要输入国家代码、省份、城市、组织名称、客户机申请证书时填写这四项也要与这里一样才行。另外还要填写主机名如：www.stu19.com与验证身份有关，务必要填写正确。最后填写管理员的邮箱地址。

                                 # touch./{index.txt,serial}

                                 #echo 01 > serial                        

          创建证书编号文件，并写入01到文件中，以后再签证书数值会自动增长。

 

    二、给节点发放证书：

 

              1、节点申请证书：在申请证书的主机上进行

                       假设：用httpd服务且与CA在同一台服务器上，其位置为/etc/httpd/conf/certs/

 

                       生成私钥

                                 #(umask 077; openssl genrsa -out httpd.key 1024)

                       生成证书签署请求

                                 #openssl req -new -key httpd.key -out httpd.csr -days NUM

                                 注意：其subject信息中位置与公司要与CA的保持一致；

                        

 

              2、CA签署证书：在CA主机上执行如下命令

                       验正请求者的信息；

                       签署证书

                                 #openssl ca -in /path/from/REQ.csr -out /path/to/somefile.crt -days NUM

                       并把签署好的证书放到指定位置下:

                                

 

                      

 

              3、查看证书中的相关信息

                       #openssl x509 -in /path/to/somefile.crt -noout -text|-subject|-serial

     

 

    三、吊销证书

 

         客户机操作：获取证书的serial(在证书持有端进行)

              # openssl x509-in /path/to/somefile.crt -noout -serial �Csubject

    

 

         CA服务器操作：

              1、根据证书持有者提交的serial和subject信息来与index.txt数据库文件中的信息是否一致；

 

              2.吊销证书

                       #openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

          

 

              3、生成吊销证书的编号（如果是第一次吊销）

                       # echo01 > /etc/pki/CA/crlnumber

 

              4、更新证书吊销列表

                       # cd/etc/pki/CA/crl/

                       #openssl ca -gencrl -out thisca.crl

 

                       注意：查看crl文件的方法

                                 #openssl crl -in /path/from/somefile.crl -noout �Ctext