Loading... <p> CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。下面来看一下自建CA的过程</p> <p> <span style="font-size: 18px"><strong>一、建立CA服务器</strong></span></p> <p> <strong>1、生成密钥</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-79.jpg" title="1457925703319044.jpg" alt="1.jpg" /></p> <p> ():表示此命令在子进程中运行,其目的是为了不改变当前Shell中的umask值;</p> <p> genrsa:生成私钥;</p> <p> -out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致;</p> <p> 2048:密钥长度,默认为1024。</p> <p> <strong>2、自签证书</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-15.jpg" title="1457925881648318.jpg" alt="2.jpg" /></p> <p> req:生成证书签署请求;</p> <p> -x509:生成自签署证书;</p> <p> -days n:证书的有效天数;</p> <p> -new:新请求;</p> <p> -key /path/to/keyfile:指定私钥文件;</p> <p> -out /path/to/somefile:输出文件位置。</p> <p> <strong>3、初始化工作环境</strong> </p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-19.jpg" title="1457925986512189.jpg" alt="3.jpg" /></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-37.jpg" title="1457926038462445.jpg" alt="3.1.jpg" /></p> <p> index.txt:索引文件,用于匹配证书编号;</p> <p> serial:证书序列号文件,只在首次生成证书时赋值。</p> <p> <strong><span style="font-size: 18px">二、节点申请证书</span></strong></p> <p> <strong>1、生成密钥对</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-59.jpg" title="1457926434988695.jpg" alt="4.jpg" /></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-19-1.jpg" title="1457926438472666.jpg" alt="5.jpg" /></p> <p> <strong>2、生成证书请求</strong></p> <p> 修改默认信息,以简化输入,使用各节点信息一致。</p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-70.jpg" title="1457926463273441.jpg" alt="6.jpg" /></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-34.jpg" title="1457926470778442.jpg" alt="7.jpg" /></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-26.jpg" title="1457926535114509.jpg" alt="8.jpg" /></p> <p> <strong>3、把签署请求文件发送给CA服务器</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-62.jpg" title="1457926559929713.jpg" alt="9.jpg" /></p> <p> <strong><span style="font-size: 18px">三、签署证书</span></strong></p> <p> <strong>1、在CA服务器上签署证书</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161748-9.jpg" title="1457937243730834.jpg" alt="10.jpg" /></p> <p> <strong>2、发送给请求者</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-96.jpg" title="1457937348306862.jpg" alt="11.jpg" /></p> <p> <span style="font-size: 18px"><strong>三.吊销证书</strong></span></p> <p> <strong>(一)节点请求吊销</strong></p> <p> <strong>1、获取证书serial</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-12.jpg" title="1457937457144362.jpg" alt="吊1.jpg" /></p> <p> x509:证书格式;</p> <p> -in:要吊销的证书;</p> <p> -noout:不输出额外信息;</p> <p> -serial:显示序列号;</p> <p> -subject:显示subject信息。</p> <p> <strong>(二) CA验证信息</strong></p> <p> <strong>1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-54.jpg" title="1457937602287542.jpg" alt="吊2.jpg" /></p> <p> <strong>2、吊销证书</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-79.jpg" title="1457937735930944.jpg" alt="吊3.jpg" /></p> <p> -revoke:删除证书。</p> <p> 查看被吊销的证书列表</p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-6.jpg" title="1457937949965872.jpg" alt="吊7.jpg" /></p> <p> <strong>3、生成吊销证书的编号(如果是第一次吊销)</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-36.jpg" title="1457937785736508.jpg" alt="吊4.jpg" /></p> <p> <strong>4、更新证书吊销列表</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-71.jpg" title="1457937803399842.jpg" alt="吊5.jpg" /></p> <p> -gencrl:生成证书吊销列表;</p> <p> <strong>5、查看crl文件内容</strong></p> <p><img src="//cto.wang/usr/uploads/2016/07/20160703161749-38.jpg" title="1457938011911603.jpg" alt="吊6.jpg" /></p> <p> -text:以文本形式显示。</p> <p></p> 最后修改:2021 年 12 月 10 日 10 : 53 AM © 允许规范转载 赞赏 如果觉得我的文章对你有用,请随意赞赏 赞赏作者 支付宝微信