创建私有CA和申请证书

为什么要申请证书,因为发送数据的一方不确定建立连接的另一方是不是假冒的,这个时候就只能通过一个权威的第三方,验证确认对方的身份。这个第三方就是CA,证书颁发机构,他的证书一般会在操作系统安装时就已经内置到系统中了。这里以网站为例,具体流程为网站方发送自己的证书申请文件给CA,包含自己的私钥和公钥,然后

创建私有CA

创建CA需要根据openssl的配置文件来指定存放的路径,这个文件为/etc/pki/tls/openssl.cnf,打开文件,这里只列出和创建CA有关的内容:

[ ca ]
default_ca      = CA_default            # 使用哪个默认的证书区域,意思就是使用下边这个CA_default默认为CA的配置

[ CA_default ]

dir             = /etc/pki/CA           # 根目录,就是下面的$dir
certs           = $dir/certs            # 证书位置
crl_dir         = $dir/crl              # 吊销证书的位置
database        = $dir/index.txt        # 库索引文件位置
#unique_subject = no                    
new_certs_dir   = $dir/newcerts         # 新证书文件位置,这个是创建证书后系统自动生成的,和创建的证书文件一样
certificate     = $dir/cacert.pem       # CA自签名证书存放位置
serial          = $dir/serial           # 下一个证书的序号,会自动生成一个old文件,放的之前那个证书的序号
crlnumber       = $dir/crlnumber        # 下一个吊销证书的序号
crl             = $dir/crl.pem          # 
private_key     = $dir/private/cakey.pem       #私钥文件存放位置 
...
policy          = policy_match      #指定的策略(就是选择下边两个策略中的哪一个,也可以自己写一份策略,然后这里用新写的策略名字)

# 这里match表示申请方和CA发放方内容必须匹配,而optional就表示可以不同
[ policy_match ]                                     #创建私有证书的默认配置模板
countryName             = match               #国家
stateOrProvinceName     = match        #省份
organizationName        = match           #公司机构
organizationalUnitName  = optional     #部门
commonName              = supplied       #用户名
emailAddress            = optional           #邮箱

[ policy_anything ]                            #创建公共证书的默认配置模板
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

步骤:

  • 1.生成证书索引数据库文件
    [root@feng ~]# touch /etc/pki/CA/index.txt
  • 2.生成证书序列号文件,指定第一个序号为01(这里序号必须为2位数,所以要写01)
    [root@feng ~]# echo 01 > /etc/pki/CA/serial
  • 3.生成私钥,这里使用小括号,生成子进程,先写上umak,这样就可以将生成的文件权限设为600,创建完文件后子进程生命周期结束,不影响shell的umask。
[root@feng ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...+++
...................................+++
e is 65537 (0x10001)
  • 4.创建自签名证书,输入如下命令
[root@feng ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

命令中的几个参数:

  • -new: 生成新证书签署请求 
    
  • -x509: 专用于CA生成自签证书
  • -key: 生成请求时用到的私钥文件
  • -days n:证书的有效期限
  • -out /PATH/TO/SOMECERTFILE: 证书的保存路径

输入命令后就会进入交互式界面 ,注意配置文件中设置的match的选项,申请人的信息和CA的必须一样。

Country Name (2 letter code) [XX]:CN     #选择国家,只能写两个字符   
State or Province Name (full name) []:henan   #选择省
Locality Name (eg, city) [Default City]:zhengzhou    #城市
Organization Name (eg, company) [Default CompanyLtd]:magedu.com    #公司
Organizational Unit Name (eg, section) []:IT    #部门
Common Name (eg, your name or your server's hostname) []:magedu   #姓名或者服务名主机名等
Email Address []:123@123     #邮箱

申请证书

在服务端创建完成私有CA后,客户端就可以生成私钥并申请证书了(私钥放置的位置不是固定的,生成证书申请文件能找到路径就行)如下:

  • 1.生成私钥
[root@localhost ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/test.key 2048)
Generating RSA private key, 2048bit long modulus
...............................+++
....................................................
+++e is 65537 (0x10001)
  • 2.生成证书申请文件
[root@localhost ~]# openssl req -new -key /etc/pki/CA/private/test.key -out /etc/pki/tls/test.csr
#进入交互式界面,配置match的项必须和CA填写一致
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:magedu
Email Address []:123@123
A challenge password []:1234   #设置一个密码
  • 3.将证书请求文件传给CA
[root@localhost ~]# scp /etc/pki/tls/test.csrroot@192.168.0.234:/tmp

CA签署证书

  • 1.在CA服务端上根据客户端上传的证书请求文件,签署证书:
[root@feng ~]# openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365

两次确认后,生成成功,然后将签发的证书传给申请端,就可以使用了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容

  • 1 概述 本文之所以称之为半自动化,是因为证书的申请并非日常工作,只是一段时间才需要申请,同时,在创建证书和办法证...
    ghbsunny阅读 2,145评论 0 1
  • CA和证书安全协议(SSL/TLS)OpenSSH 一、CA和证书 (一) PKI(Public Key Infr...
    哈喽别样阅读 1,385评论 0 0
  • 木偶戏又称“傀儡戏”,据相关史料记载,我们上杭是闽西客家木偶戏的发源地。早在十九世纪末二十世纪初,客家木偶戏就以其...
    中经全媒体阅读 582评论 0 1
  • 辛楚看着眼前这个笑容干净的少女,胸腔涌起巨大的悲鸣,一分钟之前她还深陷沼泽,孤立无援,她试图努力将自己从梦境中解救...
    sucy阅读 121评论 0 0