Centos7创建CA和申请证书 转自https://www.cnblogs.com/mingzhang/p/8949541.html
Posted on 2019-01-03 12:22 懒人ABC 阅读(445) 评论(0) 编辑 收藏 举报Centos7.3创建CA和申请证书
openssl 的配置文件:/etc/pki/tls/openssl.cnf
重要参数配置路径
dir = /etc/pki/CA # Where everything is kept
certs = /etc/pki/CA/certs # Where the issued certs are kept
database = /etc/pki/CA/index.txt # database index file.
new_certs_dir = /etc/pki/CA/newcerts # default place for new certs.
certificate = /etc/pki/CA/cacert.pem # The CA certificate
serial = /etc/pki/CA/serial # The current serial number
private_key = /etc/pki/CA/private/cakey.pem # The private key
三种策略:匹配、支持和可选
匹配指要求申请填写的信息跟CA设置信息必须一致;支持指必须填写这项申请信息;可选指可有可无
1、创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号,必须是两位十六进制数,99之后是9A
2、CA自签证书
生成私钥
cd /etc/pki/CA/
(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成自签名证书
openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于 CA 生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out: 证书的保存路径
提示输入国家,省,市,公司名称,部门名称,CA主机名(颁发者名称)
linux下查看生成的自签名证书
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
Windows下查看生成的自签名证书
需要更改上述文件名后缀为.cer即可查看
3、颁发证书
(1)在需要使用证书的主机生成证书请求
给web服务器生成私钥
(umask 066; openssl genrsa -out /app/service.key 2048)
生成证书申请文件
openssl req -new -key /app/service.key -out /app/service.csr
同样提示输入国家,省,市等信息。注意:国家,省,公司名称三项必须和CA一致。主机名称必须和网站域名相同,如www.centos73.com。或者使用泛域名,即*.centos73.com,匹配所有。
(2)将证书请求文件传输给CA
scp /app/service.csr 192.168.10.15:/etc/pki/CA/csr/
(3)CA签署证书,并将证书颁发给请求者
openssl ca -in /etc/pki/CA/csr/service.csr –out /etc/pki/CA/certs/service.crt -days 365
生成certs/service.crt和newcerts/xx.pem文件,两个文件相同。
(4)查看证书中的信息:
openssl x509 -in certs/service.crt -noout -text|issuer|subject|serial|dates
cat serial
cat index.txt //V表示当前证书的状态正常
openssl ca -status SERIAL 查看指定编号的证书状态
cat index.txt.attr //yes表示subjects信息必须是唯一的,不能重复申请
4、吊销证书
(1)在客户端获取要吊销的证书的serial
openssl x509 -in /etc/pki/CA/cacert.pem -noout -serial -subject
(2)在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:
openssl ca -revoke /etc/pki/CA/newcerts/xx.pem
cat index.txt //R表示证书已经失效
(3)指定第一个吊销证书的编号
注意:第一次更新证书吊销列表前,才需要执行
echo 01 > /etc/pki/CA/crlnumber
(4)更新证书吊销列表:
openssl ca -gencrl -out /etc/pki/CA/crl.pem
linux下查看crl文件:
openssl crl -in /etc/pki/CA/crl.pem -noout -text
Windows下查看吊销列表文件,需更改文件后缀为.crl