CA建设与证书申请

时间：2023-04-05 14:01:21 HTML5

1：创建私有CAopenssl配置文件：/etc/pki/tls/openssl.cnf根据该配置文件创建CAdir：CA相关文件存放路径/etc/pki/CAcerts：证书存放目录/etc/pki/CA/certsdatabase:数据库文件/etc/pki/CA/index.txtnew_certs_dir:新颁发的证书存放路径/etc/pki/CA/newcertscertificate:自行颁发的证书/etc/pki/CA/cacert.pemserial:下一个证书的序列号/etc/pki/CA/serialprivate_key:私钥/etc/pki/CA/private/cakey.pemcrl_dir:证书撤销列表crlnumber:下一个被撤销证书的序列号default_dayscertificatevalidityperiodpolicy:policycountryName=matchmatchstateOrProvinceName=matchmatchorganizationName=matchmatch客户端向服务器申请CA证书，这三项必须匹配如果策略从match改为其他选项，则不强制match1:创建需要的文件夹touch/etc/pki/CA/index.txt生成证书索引数据库文件echo01>/etc/pki/CA/serial指定首次颁发证书的序列号2:生成CA密钥(掩码077；opensslgenrsa–out/etc/pki/CA/private/cake.pem2048)生成无密码秘钥，成功生成文件cakey.pem文件3：生成自签名证书opensslreq-new-x509–key/etc/pki/CA/private/cakey.pem-days7300-out/etc/pki/CA/cacert.pem-new:生成新的证书签名请求-x509:专用于CAGenerateaself-signedcertificate-key:生成请求时使用的私钥文件-daysn:证书的有效期-out/PATH/TO/SOMECERTFILE:证书的存放路径/etc/pki/CA/cacert.pem为自签签名证书查看自签证书相关信息：opensslx509-in/etc/pki/CA/cacert.pem-noout-text查看自签ca证书相关信息onwindows1)rz/etc/pki/CA/cacert.pem导出文件到windows2)修改文件后缀为.cer2:客户端申请证书1:创建私钥(umask077;opensslgenrsa–out/app/service.key4096)2：使用私钥生成ca证书请求文件opensslrep–new–key/app/service.key-out/app/service.csr三：颁发证书opensslca-in/etc/pki/CA/csr/service.key–out/etc/pki/CA/cert/service.crt此时数据库已经更新了下一个证书的编号查看已经颁发的证书：查看证书的详细信息签发证书：cat/etc/pki/CA/certs/service.crt四：查看windows下签发的CA1）上传文件sz/etc/pki/CA/certs/service.crt2）查看：无上级证书路径3）将根CA安装到安全信任列表中，即安装CA生成的自签名证书4）再次检查服务证书5：申请多个证书1：无需重复生成秘钥，直接生成另一个应用文件就可以了opensslreq–new–key/app/service.key–out/app/service2.csr![clipboard.png](/im2:uploadfilescp/app/service2.csr192.168.80.166:/etc/pki/CA/csr3:签发证书opensslca-incsr/service2.csr-outcerts/service2.crt-days7000不成功，国名不匹配4修改ca策略使其成功vim/etc/pki/tls/openssl.cnf1)把国家改成optional，其他两项不变，重新申请opensslca-incsr/service2.csr-outcerts/service2.crt-days70002)然后改stateand公司匹配策略重新创建ok六：/etc/pki/CA目录简介其中：csr目录是自建的，方便存放CA申请文件index.txt：也是self-built,andformatmustbefixedasindex.txtserial:文件也是自建的，文件名是固定的，其取值范围在开头设置，固定在00-99index之间。txt.attr：里面存放了subject的policy。默认值为是。subject中的内容不能全部一致，否则无法颁发证书–text7:certificaterevocation1:revokeopensslca–revoke/etc/pki/CA/newcerts/02.pem2:指定第一个被撤销证书的编号手动创建一个撤销列表文件echo01>/etc/pki/CA/crlnumber3:更新已撤销证书列表更新:opensslca-gencrl-out/etc/pki/CA/crl/crl.pem查看crl中的pem文件opensslcrl-in/etc/pki/CA/crl/crl.pem–noout-文本

上一篇：什么是Web应用性能测量领域的RAIL模型

下一篇：前端加油！最火的Vue.js开源项目发布

CA建设与证书申请相关文章