快捷搜索:
来自 67677新澳门手机版 2019-11-05 16:47 的文章
当前位置: 67677新澳门手机版 > 67677新澳门手机版 > 正文

创立私有CA并签发证书

意气风发、创设私有CA
  1、成立所须要的文本
  图片 1

  2、制造私有密钥
  图片 2

  3、CA自签证书
  图片 3
    -new: 生成新证书签定央浼;
               -x509: 专项使用于CA生成自签证书;不自签的时候绝不加该选项
               -key: 生成央求时用到的私钥文件;
              -days n:证书的有效期限;
              -out /PATH/TO/SOMECERTFILE: 证书的保留路线;

    填写音信时,Common Name选项一定要与写成服务器名字,和DNS剖析出来的名字如出生龙活虎辙。

    哪个人访谈自个儿就把CA证书给客商端风流洒脱份,就能够信赖本人这么些注解颁发机构了

二、证书颁发
  1、在web服务器生成证书央求
    # mkdir -v /etc/httpd/ssl
    # cd /etc/httpd/ssl
    图片 4

    2、将注脚央求发送给CA服务器。
    图片 5

    3、在CA服务器上签名证书
    图片 6

    4、将证书发送给web服务器
    图片 7

    查看证书音信:
                    openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

三、吊销证书:   

   (a) 客商端获取要撤除的证件的serial

                # openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

 

            (b) CA端

                先依照顾客提交的serial与subject消息,比较查证是或不是与index.txt文件中的消息相通;

 

                吊销证书:

                    # openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

 

            (c) 生成吊销证书的号子(第三次吊销二个证件)

                # echo 01 > /etc/pki/CA/crlnumber

 

            (d) 更新证书吊销列表

                # openssl ca -gencrl -out thisca.crl

 

                查看crl文件:

                    # openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

    

 

本文由67677新澳门手机版发布于67677新澳门手机版,转载请注明出处:创立私有CA并签发证书

关键词: