SSL

Openssl
三个组件：
openssl
libcrypto
libssl
证书申请及签署步骤
1、生成申请请求
2、RA核验
3、CA签署
4、获取证书

/opt/pki/

创建私有CA
openssl 的配置文件/opt/pki/tls/openssl.conf

步骤：
1、创建所需要的文件
touch index.txt
echo 01 > serial
2、CA自签
2.1、生成私钥
#(umask 077;openssl genrsa -out cakey.pem 2048)
2.2、从私钥中提取CA证书，这个CA证书的路径需要放在/etc/pki/CA

#openssl req -new -x509 -key cakey.pem -days 365 -out cacert.pem
3、发证
3.1、用到证书的主机生成证书请求
3.1.1、生成私钥
#(umask 077;openssl genrsa -out testkey.pem 2048）
3.1.2、生成证书请求
openssl req -new -x509 -key testkey.pem -days 365 -out test.csr
3.2、把请求文件传输给CA

3.3、CA签署证书，并将证书发还给请求者
openssl ca -in test.csr -out testcrt.pem -day 365
4、查看证书信息
openssl x509 -in test.crt

5、吊销证书
5.1、在客户端获取要吊销的整数的serical
openssl x509 -in test.crt -noout -serial -subject
5.2、CA
先根据客提交的serial与subject信息，对比检验是否与index.txt 文件的信息是否一致

吊销证书
opensll ca -revoke /etc/pki/CA/newcert/SERIAL.pem

5.3、生成吊销证书的编号(第一次吊销证书时使用)
echo 01> /etc/pki/CA/crlnumber

5.4、更新证书吊销列表
openssl ca -gencrl -out thisca.crl

5.5、查看crl文件
openssl crl -in this.car -noout -text