本文由LinuxProbe.Com团队成员冯振华整理发布,原文来自:。

导读 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。
一、建立CA服务器
1、生成密钥

private_ca_01
():表示此在子进程中运行,其目的是为了不改变当前中的umask值;

genrsa:生成私钥;

-out:私钥的存放路径,cakey.pem:为密钥名,与配置文件中保持一致;

2048:密钥长度,默认为1024。

2、自签证书

private_ca_02
req:生成证书签署请求;

-x509:生成自签署证书;

-days n:证书的有效天数;

-new:新请求;

-key /path/to/keyfile:指定私钥文件;

-out /path/to/somefile:输出文件位置。

3、初始化工作环境

private_ca_03
private_ca_04
index.txt:索引文件,用于匹配证书编号;

serial:证书序列号文件,只在首次生成证书时赋值。

二、节点申请证书
1、生成密钥对

private_ca_05
private_ca_06

2、生成证书请求

修改默认信息,以简化输入,使用各节点信息一致。
private_ca_07

private_ca_08

private_ca_09

3、把签署请求文件发送给CA服务器

private_ca_10

三、签署证书
1、在CA服务器上签署证书

private_ca_11

2、发送给请求者

private_ca_12

四、吊销证书
(一)节点请求吊销

1、获取证书serial
private_ca_13
x509:证书格式;

-in:要吊销的证书;

-noout:不输出额外信息;

-serial:显示序列号;

-subject:显示subject信息。

(二) CA验证信息

1、节点提交的serial和subject信息来验证与index.txt文件中的信息是否一致
private_ca_14
2、吊销证书
private_ca_15
-revoke:删除证书。

查看被吊销的证书列表
private_ca_16
3、生成吊销证书的编号(如果是第一次吊销)
private_ca_17
4、更新证书吊销列表
private_ca_18
-gencrl:生成证书吊销列表;
5、查看crl文件内容
private_ca_19
-text:以文本形式显示。

原文来自:

本文地址://lrxjmw.cn/private-ca.html编辑:冯振华,审核员:逄增宝

本文原创地址://lrxjmw.cn/private-ca.html编辑:逄增宝,审核员:暂无