openssl 签发证书

/etc/pki/tls/openssl.cnf openssl配置文件

三种策略
match:要求申请填写的信息跟CA设置信息必须一致
optional:可有可无,跟CA设置信息可不一致
supplied:必须填写这项申请信息

1、创建CA所需要的文件
1.1生成证书索引数据库文件
touch /etc/pki/CA/index.txt
1.2指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial
2.生成CA私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
3、生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out    
/etc/pki/CA/cacert.pem
选项说明:
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

自签名证书需要填写的资料
国家、省份、城市、公司、部门、域名、邮箱
自签名证书需要与后面发的证书中的3点一致(如果没有更改策略 更改总策略:policy =policy_anything 或者更改单一策略)
国家、省份、公司

申请证书并颁发证书
1、为需要使用证书的主机生成生成私钥
(umask 066; openssl genrsa -out   /data/test.key 2048)
2、为需要使用证书的主机生成证书申请文件(需要与前边CA的3点一致)
openssl req -new -key /data/test.key -out /data/test.csr
3、CA签署证书
openssl ca -in /data/test.csr  -out   /etc/pki/CA/certs/test.crt -days 100

4、查看证书中的信息
openssl x509 -in /PATH/FROM/CERT_FILE -noout   -text|issuer|subject|serial|dates
查看指定编号的证书状态
openssl ca -status SERIAL

吊销证书
在客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERT_FILE   -noout   -serial  -subject
在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
指定第一个吊销证书的编号,注意:第一次创建证书吊销列表前,才需要执行
echo 01 > /etc/pki/CA/crlnumber
创建更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl.pem -noout -text

cento7快速生成证书
cd /etc/pki/tls/certs
make (命令)

posted @   TestAL4193  阅读(100)  评论(0编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示