创建CA
创建CA和申请证书
创建私有CA:
首先在CA服务器端创建CA。
先去看openssl的配置文件: /etc/pki/tls/openssl.cnf
一般我们不会去更改这个配置文件,但是要去看一下。我们是根据这个文件创建的CA.
这个文件里是openssl的配置文件,我们打开后只观察与CA有关的文件。
在文本中可以看出一个主机中可以有多个CA,并且指定出默认CA为CA_default。
三种策略要求:
match匹配
supplied支持
optional可选
匹配指要求申请填写的信息跟CA设置信息必须一致, 支持指必须填写这项申请信息, 可选指可有可无。
要想改变策略可以直接更改该文件。
前面文档了解之后我们就开始创建了。
首先我们先创建一个私钥。
生成私钥
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
我们可以查看一下目录结构看看是否生成秘钥文件。
tree /etc/pki/CA/
创建好私钥后我们要自签名证书
CA自签证书
创建CA和申请证书,生成自签名证书
openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
我们可以查看一下生成的证书
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
文件里显示的证书的详尽信息,颁发者,有效时间什么的。
申请证书
CA自签名做好之后要用客户端去申请证书
申请证书前,客户端也要先生成私钥文件。
(umask 066;openssl genrsa -out /app/RA/service.key 4096)
然后生成证书申请文件
openssl req -new -key /app/RA/service.key -out /app/RA/service.csr
将证书请求文件传输给CA
scp /app/RA/service.csr 172.16.251.18:/etc/pki/CA/
为了方便管理,在CA端的/etc/pki/CA下创建msc文件并把文件请求放到文件夹里
CA签署证书,并将证书颁发给请求者
openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 365
这里报错是因为服务器创建CA的时候没有创建数据可文件。所以这一要创建一下这个文件。
touch /etc/pki/CA/index.txt
但是只有这个文件还是不行的,还序号文件没有开始序号。所以这也要创建。
并且序号只能是两位,如果不是就会报错。
echo 01> /etc/pki/CA/serial
当然这两步也在创建CA是就做是最好的。
然后重新颁发证书试试。
注意:默认国家,省,公司名称三项必须和CA一致
同意之后我们可以查看一下我们刚创建的数据库有变化没。
这是就已经有新文件产生。数据库发生变化。
到此申请证书结束。
我们可以查看证书的信息
openssl x509 -in certs/service.crt -noout -text
吊销证书
在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:
openssl ca -revoke newcerts/91.pem
然后擦汗一下数据库
可以看见证书前面状态是R ,代表已经吊销。
然后指定第一个吊销证书的编号
注意:第一次更新证书吊销列表前,才需要执行
echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text