建立私有CA和证书颁发

建立私有CA和证书申请

创建CA相关目录和文件----》创建CA的私钥------》给CA颁发自签名证书-------》用户生成私钥和证书申请-------》CA颁发证书-------》查看证书------》将证书相关文件发送到用户端使用-----------》证书吊销--------》生成证书吊销列表文件

#mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

#touch /etc/pki/CA/index.txt

echo 0F > /etc/pki/CA/serial

 

1.创建CA所需要的文件

生成证书索引数据库文件   touch    /etc/pki/CA/index.txt

指定第一个颁发证书的序列号 echo  01 >  /etc/pki/CA/seral

2.生成CA私钥

Cd  /etc/pki/CA

（umask 066; openssl  genrsa  -out  private/cakey.pem  2048）

3.生成CA自签名证书

Openssl  req  -new  -x509  -key  /etc/pki/CA/private/cakey.pem  -days  3650  -out  /etc/pki/CA/cacert.pem

 

申请证书并颁发证书

1.为需要使用的主机生成私钥

#(umask  066  ; openssl  genrsa  -out  /data/test.key  2048)

2.为需要使用证书的主机生成证书申请文件

#openssl  req  -new  -key  /data/test.key  -out  /data/test.csr

3.在CA签署证书并将证书颁发给请求者

#openssl  ca  -in  /tmp/test.csr  -out  /etc/pki/CA/certs/test.crt  -days  100

注：默认要求国家，省，公司名称三项必须和CA一致

一个用户默认只能申请一个证书

一个用户，设置申请多个证书，默认只能申请一个证书，申请多个需要修改文件

 

查看证书中的信息

#openssl  x509  -in  /PATH/FROM/CERT_FILE  -noout  -text|issuer|subject|serial|dates

查看指定编号的证书状态

#Openssl  ca  -status  SERIAL

 

吊销证书

在客户端获取要吊销的证书的serial

#openssl  x509  -in  /PATH/FROM/CERT_FILE  -noout  -serial  -subject

在CA上，根据客户端提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致，吊销证书

#openssl  ca  -revoke  /etc/pki/CA/newcerts/SERIAL.pem

指定第一个吊销证书的编号，注：第一次更新证书吊销列表前，才需要执行

#echo  01  >  /etc/pki/CA/crlnumber

更新证书吊销列表

#openssl  ca  -gencrl  -out  /etc/pki/CA/crl.pem

查看crl文件

#openssl  crl  -in  /etc/pki/CA/crl.pem  -noout  -text