什么是CA
CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。
搭建私有CA
一、搭建CA服务器
1、生成密钥
-
( ):表示此命令在子进程中运行,其目的是为了不改变当前Shell中的umask值
-
genrsa:生成私钥
-
-out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致
-
4096:密钥长度,默认为1024
2、生成自签证书
-
req:生成证书签署请求
-
-new:生成新证书签署请求
-
-x509:生成自签格式证书,专用于创建私有CA时
-
-key:生成请求时用到的使用文件路径
-
-out:生成的请求文件路径,如果自签操作将直接生成签署过的证书
-
-days:证书的有效时长,单位是day
3、为CA提供所需的目录及文件
~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
~]# touch /etc/pki/CA/{serial,index.txt}
~]# echo 01 > /etc/pki/CA/serial
-
index.txt:索引文件,用于匹配证书编号
-
serial:证书序列号文件,只在首次生成证书时赋值
二、节点向CA请求签署证书
1、用到证书的主机生成私钥
2、生成证书签署请求
3、将请求通过可靠方式发送给CA主机
三、签署证书
1、在CA服务器上签署证书
2、发送给请求者
四、吊销证书
(一)、节点请求吊销
1、客户端获取要吊销的证书的serial(在使用证书的主机执行)
-
x509:证书格式
-
-in:要吊销的证书
-
-noout:不输出额外信息
-
-serial:显示序列号
-
-subject:显示subject信息
(二)、CA验证信息
1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致
2、吊销证书
-
-revoke:删除证书
3、生成吊销证书的吊销编号(第一次吊销证书时执行)
4、更新吊销证书列表
-
-gencrl:生成证书吊销列表
5、查看crl文件
-
-text:以文本形式显示
原创文章,作者:[email protected],如若转载,请注明出处:http://www.178linux.com/67722
评论列表(1条)
步骤详细,如果有关于加密相关的原理介绍会更好,加油。