开发者社区> 技术小甜> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

创建私有CA及颁发证书

简介:
+关注继续查看

证书申请及签署步骤:

1、生成申请请求

2、RA核验

3、CA签署

4、获取证书

三种策略:匹配、支持和可选

      ①匹配:指要求申请填写的信息跟CA设置信息必须一致,默认国家、省、公司信息必须一致

     ②支持:指必须填写这项申请信息,但是可以和CA信息不一致

     ③可选:指可有可无

j_0057.gif创建私有CA及颁发证书步骤

1、创建所需要的文件

  ①openssl的配置文件:/etc/pki/tls/openssl.cnf   

  如果没有这个文件,那么需要安装一个包

  rpm -ivh openssl-libs-1.0.1e-60.el7.x86_64.rpm

配置文件里给定了CA的一些文件路径,需严格按照该路径存放文件。

wKiom1nGJ9jTa1ewAAC01YY-_z8825.jpg

  ②touch /etc/pki/CA/index.txt 生成证书索引数据库文件

  ③echo 99 > /etc/pki/CA/serial 指定第一个颁发证书的序列号。那么下个分发的序列号就是该数+1

2、CA自签证书:

   1)生成私钥

      cd /etc/pki/CA/

      (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 1024)

umask 077:表示生成的私钥文件权限为700,放在小括号里表示只对小括号里的命令有影响,而不影响系统当前的umask。

-out :生成的私钥放在指定文件中

1024:表示生成1024位的私钥

wKiom1nGJ9jSbo4dAAAPJHz2100563.jpg 

wKioL1nGJ6DDhHdJAAA7d618Srs995.jpg

   2)生成自签名证书

    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求

-x509: 专用于CA生成自签证书,不加就是给别人颁发证书

-key: 生成请求时用到的私钥文件

-days 3650:证书的有效期限

-out : 证书的保存路径  

wKiom1nGJ9mSWErMAAC701Waagw159.jpg

   3、颁发证书

   1)在需要使用证书的主机生成证书请求

     给web服务器生成私钥:

       (umask 077; openssl genrsa -out /etc/pki/tls/private/test.key 2048)

wKioL1nGJ6DQjQfgAAAtpNd9FXY252.jpg 

     生成证书申请文件

       Openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test.csr

wKioL1nGJ6DDPS3TAADdwGMYC6k436.jpg

   2)将证书请求文件传输给CA

      scp /etc/pki/tls/test.csr 192.168.119.128:/

   3)CA签署证书,并将证书颁发给请求者

     openssl ca -in /test.csr -out /etc/pki/CA/certs/test.crt -days 365

     scp /etc/pki/CA/certs/test.crt 192.168.119.129:/etc/pki/tls/

wKiom1nGJ9nT3x8tAADjH-Wgtnc286.jpg 

   4)查看证书中的信息

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates

wKioL1nGJ6Gx60tZAABcvx_Gu7U341.jpg

    openssl ca -status SERIAL 查看指定编号的证书状态

wKiom1nGJ9nCJveBAAAcAopXECo223.jpg 

4、吊销证书

   1)在客户端获取要吊销的证书的serial

     openssl x509 -in /etc/pki/CA/certs/test.crt -noout -serial -subject

wKiom1nGKWmwHqLYAAAkdEi_tJM691.jpg

   2)在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,然后吊销证书

     openssl ca -revoke /etc/pki/CA/newcerts/99.pem

wKioL1nGKTGBnsxKAABEYUCchwE038.jpg    wKiom1nGKWrzBJZSAAAqvaLvhjs645.jpg       

   3)指定第一个吊销证书的编号

      注意:第一次更新证书吊销列表前,才需要执行

            echo 01 > /etc/pki/CA/crlnumber 

   4)更新证书吊销列表

      openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

wKiom1nGKWqiuWttAAAeRTkc3vg800.jpg 

查看crl文件:

      openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

wKioL1nGKTLQtUCdAAC5oQMf2Rw770.jpg 

j_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gifj_0046.gif



















本文转自lc0108131451CTO博客,原文链接:http://blog.51cto.com/13150617/1968017 ,如需转载请自行联系原作者




版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
PolarDB-X 是如何用15M内存跑1G的TPCH
本文主要对PolarDB-X计算层的内存管理进行分析,这有助于大家有PolarDB-X有更深入的理解。 PolarDB-X内存管理机制的设计,主要为了几类问题: 1. 让用户更容易控制每个查询的内存限制; 2. 预防内存使用不当,导致内存溢出进而引发OOM; 3. 避免查询间由于内存争抢出现相互饿死现象; 4. 避免AP Workload使用过多内存,严重拖慢TP Workload
572 0
Oracle 11g R2 RAC with ASM存储迁移--Rman copy&ASM REBALANCE
by acdante Oracle 11g R2 RAC with ASM存储迁移                                            -----Rman copy&ASM REBALANCE     环境介绍 VMware版本:VMware12pro 主机操作系统:RHEL6.5_64 共享存储使用VMWARE创建共享磁盘文件 数据库版本:Oracle11gR2 11.2.0.4.0_RAC   Oracle数据库文件部署在ASM磁盘组上,需要在不停机或者尽量短的停机时间完成存储迁移。
2771 0
kafka SSL证书生成及配置
apache kafka可以使用SSL加密连接,还可以限制客户端访问, 给客户端发行证书,只允许持有证书的客户端访问。 下面使用jdk的keytool工具来生成证书,配置kafka。
3667 0
Thinking in java(1):对象导论
纯粹的面向对象程序设计的几个特性:1. 万物皆对象2. 程序是对象的合集,他通过发消息告诉彼此要做什么3. 每个对象都有自己的由其他对象所构成的存储4. 每个对象都有其类型5. 某一特定类型的所有对象都可以接收同一类型的消息 每个对象都有一个接口每个对象都有自己的服务(这个是为了高内聚性)具体类的实现被隐藏,调用方不需要知道被调用方的具体实现复用具体类实现 代码复用是面向对象程序设计的最了不起的优点之一使用现有的类合成新的类,这种概念称作组合。
918 0
【Swift】通过tag删除动态创建的UIButton
前言 最近开始做swift的基于SpriteKit的小游戏,github地址 https://github.com/diandianxiyu/CountCats ,欢迎支持! 动态创建 直接上代码 //开始按钮 let btnStart=UIButton() btnStart.
805 0
Oracle 11g RAC crs_stat 命令结果完整显示
Oracle 11g RAC中crs_stat命令较之前的版本多出了很多新的不同的资源类型,缺省情况下,使用crs_stat -t来查看资源是密密麻麻一大片,看起来着实费力。
868 0
oracle express 11g 创建表空间
oracle express 11g 默认情况下,不管是以 http://127.0.0.1:8080/apex/ 登录本机控制台,还是用pl/sql developer连接,都无法创建表空间,只能sql命令完成 启用sql plus: SQL> conn sys as sysdba; SQL> create tablespace CTL datafile 'D:\db\CTL.
913 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载