本文共 1160 字,大约阅读时间需要 3 分钟。
创建私有CA
openssl的配置文件:/etc/pki/tls/openssl.cnf(1)创建所需要的文件touch index.txtecho 01 > serial(2)CA自签证书(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.perm-new:生成新证书签署请求-x509:专用于CA生成自签证书-key:生成请求时用到的私钥文件-days:证书的有效期限-out:/PATH/TO/SOMECERTFILE证书的保存路径:(3)发证(a)用到证书的主机生成证书请求(umask 077;openssl genrsa -out /data/test.key 2048)openssl req -new -key /data/test.key -days 365 -out /data/test.csr(b)把请求文件传输给CAscp /data/test.csr 主机ip(c) CA签署证书,并将证书发还给请求者openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100还给请求者用scp命令查看证书中的信息openssl x509 -in /PATH/FROM/CERFILe.crt -noout -text|-subject|-serail|dates|issuer(4)吊销证书(a)客户端获取要吊销的证书的serialopenssl x509 -in /PATH/FROM/CERFILe.crt -noout -serial -subject(b)CA先根据客户提交的serial与subject信息 ,对比检验是否与index.txt文件中的信息一致吊销证书openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem(c)生成吊销证书的编号(第一次吊销时需要执行下面的命令)echo 01 >/etc/pki/CA/crlnumber(d)更新证书吊销列表openssl ca -gencrl -out thisca.crl查看crl文件openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text转载于:https://blog.51cto.com/14128869/2346886