建立私有CA
建立私有CA
CA:Cerieificate Authority证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。
由于向国际根CA注册证书是要钱的,所以通常在公司内部我们需要用到证书进行安全通信时,可以自己搭建一个公司内部的CA,来满足公司内网的安全传输需求。
现在我们就来建立一个私有CA,并申请证书。
openssl的配置文件:/etc/pki/tls/openssl.cnf
三种策略:匹配、支持和可选
匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无
1、创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
如果没有创建文件的话后面会报错,那时创建文件也没关系。
2、 CA自签证书
生成私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem –des3 2048)
在生成私钥时最好加上密码 -des3 虽然使用起来每次都要输入密码,但是更安全。
这样私钥文件就生成好了。
接下来生成自签名证书
openssl req -new -x509 –key private/cakey.pem -days 3650 -out
/etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
接下来就是输入CA信息
我们可以把生成的文件传到实体机桌面上,将后缀改为.cer查看
使用sz命令 将文件传输到实体机桌面
这样自签名证书就生成好了,接下来就是申请证书和签证了,首先在需要使用证书的机器生成证书请求。
给web服务器生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key –des3 2048) 同样我们给私钥加上密码
这样需要使用证书的机器的私钥就生成好了,接下来生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key -days 3650 -out etc/pki/tls/test.csr
又到了输入信息的时候了,但是这次要注意了,默认国家,省,公司名称三项必须和CA一致!最后两行信息就可以不写了。
这样证书申请文件就生成好了,接下来就是申请证书了,将证书文件传输给CA。
接下来就是签发证书了
CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 3650
这样证书就签好了。接下来查看证书中的信息:
把证书文件导出虚拟机,并加上后缀 .cer
openssl x509 -in /PATH/FROM/CERT_FILE -noout
-text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态
这样私有CA就建立完成并且可以签发证书了。