openssl續

建立私有ca:

openCA

openssl：/etc/pki/tls/openssl.cnf

(1) 建立所需要的檔案

# /etc/pki/CA

# touch index.txt

# echo 01 > serial

(2) CA自簽證書

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem

-new: 生成新證書簽署請求；

-x509: 專用于CA生成自簽證書；

-key: 生成請求時用到的私鑰檔案；

-days n：證書的有效期限；

-out /PATH/TO/SOMECERTFILE: 證書的儲存路徑；

(3) 發證

(a) 用到證書的主機生成證書請求；

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

(b) 把請求檔案傳輸給CA；

(c) CA簽署證書，并将證書發還給請求者；

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

檢視證書中的資訊：

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

(4) 吊銷證書

(a) 用戶端擷取要吊銷的證書的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(b) CA

先根據客戶送出的serial與subject資訊，對比檢驗是否與index.txt檔案中的資訊一緻；

吊銷證書：

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

(c) 生成吊銷證書的編号(第一次吊銷一個證書)

# echo 01 > /etc/pki/CA/crlnumber

(d) 更新證書吊銷清單

# openssl ca -gencrl -out thisca.crl

檢視crl檔案：

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

證書申請及簽署步驟：

1、生成申請請求；

2、RA核驗；

3、CA簽署；

4、獲驗證書；

      本文轉自echoroot 51CTO部落格，原文連結：http://blog.51cto.com/echoroot/1947329，如需轉載請自行聯系原作者