openssl 创建私有CA

简介:

创建私有CA:

    openssl的配置文件:/etc/pki/tls/openssl.cnf

1.创建所需要的文件

    #touch index.txt 

    #echo 01 > serial

    #

2.给CA发证 <CA自签证书>

    #(umask 077; openssl genrsa -out private/cakey.pem 2048)

    # openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

    

    关于req后面的几个常用选项:

-new: 生成新证书签署请求;

-x509: 专用于CA生成自签证书;

-key: 生成请求时用到的私钥文件;

-days n: 证书的有效期限;

-out /PATH/TO/SOMECERTFILE : 证书的保存路径;

3.发证

    1.用到证书的主机生成证书请求;

        # (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

        # openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

    2.把请求文件传输给CA;

    3.CA签署证书,并将证书发还给请求者;

        #openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

查看证书中的信息

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial

4.吊销证书

    1.客户端获取要吊销的证书的序列号serial

        openssl x509 -in /path/from/cert_file -noout -subject

    2.CA端

先根据客户端提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;

        吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

    3.生成吊销证书编号(第一次吊销一个证书)

        echo 01 > /etc/pki/CA/crlnumber

    4.更新证书吊销列表

openssl ca -gencrl -out thisca.crl

查看crl文件:

openssl crl -in /path/from/crl_file.crl -noout -text




      本文转自limingyu0312  51CTO博客,原文链接:http://blog.51cto.com/limingyu/1953860,如需转载请自行联系原作者




相关文章
|
安全 数据库 索引
创建私有CA,我就用openSSL
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。
|
算法 数据安全/隐私保护 Shell
|
安全 网络安全 数据安全/隐私保护
|
存储 网络安全 Apache
|
网络安全 数据安全/隐私保护
|
网络安全 数据安全/隐私保护 索引