windows和centos證書

  在平時通路網站時總會遇到一些不信任網站，例如12306網站。那思考過如何把那些不受信任的網站變為信任呢。

  一、windows中出現的不信任網站該如何解決。

  ①按F12（我用的qq浏覽器）檢視證書，并且把證書導出。

  ②打開證書開始傻瓜式安裝證書。

  ③導入到可信任根證書頒發機構。

  ④然後下次通路就不會再次提醒是不信任網站了。

  二、那centos中中證書又該如何頒發的呢。

  在了解centos頒發證書之前先了解一下openssl的配置檔案：/etc/pki/tls/openssl.cnf

<a href="https://s4.51cto.com/wyfs02/M01/A6/18/wKioL1nI8m6QyrDGAADOy0pEgio407.png" target="_blank"></a>

<a href="https://s4.51cto.com/wyfs02/M00/07/66/wKiom1nI8qqRA35UAAD5TOetHjA109.png" target="_blank"></a>

  實驗：模仿該如何建立CA和如何給用戶端頒發證書。

  假設：centos7為伺服器    centos6為用戶端

  （1）伺服器建立CA，即自己為CA。

  三種政策：比對、支援和可選

  比對指要求申請填寫的資訊跟CA設定資訊必須一緻，支援指必須填寫這項申請資訊，可選指可有可無

  ①建立所需要的檔案

  touch /etc/pki/CA/index.txt 生成證書索引資料庫檔案（必須建立，而且檔案名字必須一樣，不然後期報錯）

  echo 00 &gt; /etc/pki/CA/serial 指定第一個頒發證書的序列号（必須生成，序列号可以随意）

  ②CA自簽證書。

  CA先生成私鑰。

  指令：(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

  指令：openssl req -new -x509 –key/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

  裡面的具體選項含義如下：

  -new: 生成新證書簽署請求

  -x509: 專用于CA生成自簽證書，如頒發給伺服器不用此項

  -key: 生成請求時用到的私鑰檔案

  -days n：證書的有效期限

  -out /PATH/TO/SOMECERTFILE: 證書的儲存路徑

  用戶端生成證書請求，并發送給CA，讓CA簽署證書并頒發給用戶端。

  ①用戶端生成私鑰。

  ②用戶端生成證書請求。

  ③将證書請求發送給CA伺服器端。

  ⑥檢視用戶端裡面的證書。

  三、吊銷證書的步驟。

  ①在用戶端擷取要吊銷的證書的serial

  指令：openssl x509 -in test.crt -noout -serial -subject

 指令：openssl ca -revoke /etc/pki/CA/newcerts/00.pem

  ③指定第一個吊銷證書的編号

  指令：echo 01 &gt; /etc/pki/CA/crlnumber（編号可以自己寫）

  ④在CA上更新證書吊銷清單

  ⑤在實體機上檢視吊銷的證書。

  吊銷證書成功，後期應該釋出到官方網站，讓大家都知道。到此關于證書就這麼多了，其他的暫時還沒有想起來，有錯誤的歡迎指出。

  本文轉自 LUksl 51CTO部落格，原文連結:http://blog.51cto.com/19940919/1969311