接下来讲的是在centos7.3和centos6.8中实现CA和证书申请,centos7.3作为主机,centos6.8作为客户端
首先你授权客户端CA证书,必须本身主机也具有CA,自己证明自己,先CA自签证书,然后在7.3创建私钥
为了方便以后的操作CD进入 cd /etc/pki/CA
生成自签名证书
-new: 生成新证书签署请求
-x509: 专用于CA 生成自签证书
-key: 生成请求时用到的私钥文件
-days n :证书的有效期限
-out / PATH/TO/SOMECERTFILE : 证书的保存路径
第一项是填写国家,填写简写,中国,即CN
第二项是州即我们的省,比如我在北京所以BeiJing
第三项是城市,beijing 这个要求就不如前两项那么严谨了
第四项是公司名称是和前两项最为重要的,因为接下来在客户端的操作也会用到之前填写的信息
第五项是授权CA对象的名称 (因为这里是自己给自己签证书所以填写本机名就好)
第六项是电子邮箱
作为这些操作,主机的自签证书就完成了,之后可以根据一下命令查看证书的信息
openssl x509 -in cacert.pem -noout -text
之后就是在centos6.8操作了
在客户端的操作前面都是一样的
私钥文件就放到private文件夹
生成申请文件
第1,2,4,这是必须和主机一致,第六项是自己以后的域名,就是申请哪个网站名,要是和域名不同的话,这个证书就废了。
这边后面比主机多了设置密码的项,我这里是演示,所以就直接不设置了
之后把申请文件发送到主机
之后把test.csr移动到/etc/pki/CA/下面,进行审核。
接下来就是 CA 签署证书,并将证书颁发给请求者
第一次 签署证书的时候出现错误因为少了一个文件,之后补上文件touch index.txt
之后又试了一次,还是错误的,因为我们还缺少一个serial文件,补上文件之后就把证书签署好了。
然后在把证书发回客户端申请人
这样我们就完成了CA 证书的申请!请多多练习!
原创文章,作者:island,如若转载,请注明出处:http://www.178linux.com/73172
