使用OpenSSL創(chuàng)建CA和申請證書-創(chuàng)新互聯(lián)
OpenSSL簡介
OpenSSL是一種加密工具套件,可實現(xiàn)安全套接字層(SSL v2 / v3)和傳輸層安全性(TLS v1)網(wǎng)絡協(xié)議以及它們所需的相關加密標準。
為田家庵等地區(qū)用戶提供了全套網(wǎng)頁設計制作服務,及田家庵網(wǎng)站建設行業(yè)解決方案。主營業(yè)務為成都網(wǎng)站設計、做網(wǎng)站、成都外貿網(wǎng)站建設公司、田家庵網(wǎng)站設計,以傳統(tǒng)方式定制建設網(wǎng)站,并提供域名空間備案等一條龍服務,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務。我們深信只要達到每一位用戶的要求,就會得到認可,從而選擇與我們長期合作。這樣,我們也可以走得更遠!openssl命令行工具用于從shell程序使用OpenSSL加密庫的各種加密功能。 它可以用于:
- 創(chuàng)建和管理私鑰,公鑰和參數(shù)
- 公鑰加密操作
- 創(chuàng)建X.509證書,CSR和CRL
- 消息摘要的計算
- 使用密碼進行加密和解密
- SSL / TLS客戶端和服務器測試
- 處理S / MIME簽名或加密的郵件
- 時間戳記請求,生成和驗證
openssl配置文件及三種策略
配置文件
/etc/pki/tls/openssl.cnf
三種策略
match(匹配):要求申請?zhí)顚懙男畔⒏鶦A設置信息必須一致
optional(可選):可有可無,跟CA設置信息可不一致
supplied(提供):必須填寫這項申請信息創(chuàng)建私有CA和申請、頒發(fā)證書文件(以下操作都是在一臺機器上執(zhí)行)
1.創(chuàng)建所需要的文件
[root@CentOS7 ~]# cd /etc/pki/CA/
[root@CentOS7 CA]# touch index.txt 生成證書索引數(shù)據(jù)庫文件
[root@CentOS7 CA]# echo 01 > serial 指定第一個頒發(fā)證書的序列號2.CA自簽證書
2.1生成私鑰
[root@CentOS7 CA]# (umask 066;openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...................................................................................+++
.+++
e is 65537 (0x10001)2.2生成自簽名證書
[root@CentOS7 CA]# openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:abc
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:hechunping
Email Address []:root@abc.com
選項說明:
-new:生成新證書簽署請求
-x509:專用于CA生成自簽證書
-key:生成請求時用到的私鑰文件
-days n:證書的有效期限
-out /PATH/TO/SOMECERTFILE: 證書的保存路徑3.頒發(fā)證書
3.1在需要使用證書的主機生成證書請求(本實驗是在本機)
3.1.1生成私鑰
[root@CentOS7 CA]# (umask 066;openssl genrsa -out /data/test.key 2048)
Generating RSA private key, 2048 bit long modulus
..................................................+++
...............................+++
e is 65537 (0x10001)3.1.2生成證書申請文件
[root@CentOS7 CA]# openssl req -new -key /data/test.key -out /data/test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:abc
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:hechunping
Email Address []:root@abc.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:3.2將證書申請文件傳輸給CA(兩臺不同的主機可以使用scp命令傳輸)
3.3CA簽署證書,并將證書頒發(fā)給請求者
[root@CentOS7 CA]# openssl ca -in /data/test.csr -out certs/test.crt -days 100
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Nov 10 13:45:34 2019 GMT
Not After : Feb 18 13:45:34 2020 GMT
Subject:
countryName = CN
stateOrProvinceName = beijing
organizationName = abc
organizationalUnitName = IT
commonName = hechunping
emailAddress = root@abc.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
4C:AE:F0:13:F0:CD:8F:B5:F7:3F:1B:C8:E4:77:91:02:9E:88:6B:5A
X509v3 Authority Key Identifier:
keyid:E3:C1:5E:6D:94:5E:F2:AE:16:67:79:2C:69:B5:B9:10:D9:E0:51:BE
Certificate is to be certified until Feb 18 13:45:34 2020 GMT (100 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
注意:默認要求 countryName(國家),stateOrProvinceName(省),organizationName(公司)三項必須和CA一致3.4查看證書中的信息
[root@CentOS7 CA]# openssl x509 -in certs/test.crt -noout -text|issuer|subject|serial|dates3.5查看指定編號的證書狀態(tài)
[root@CentOS7 CA]# openssl ca -status 01
Using configuration from /etc/pki/tls/openssl.cnf
01=Valid (V)4.吊銷證書
4.1在客戶端獲取要吊銷的證書的serial
[root@CentOS7 CA]# openssl x509 -in certs/test.crt -noout -serial -subject
serial=01
subject= /C=CN/ST=beijing/O=abc/OU=IT/CN=hechunping/emailAddress=root@abc.com4.2在CA上,根據(jù)客戶提交的serial與subject信息,對比檢驗是否與index.txt文件中的信息一致
[root@CentOS7 CA]# cat index.txt
V 200218134534Z 01 unknown /C=CN/ST=beijing/O=abc/OU=IT/CN=hechunping/emailAddress=root@abc.com4.2.1吊銷證書
[root@CentOS7 CA]# openssl ca -revoke newcerts/01.pem
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated4.2指定第一個吊銷證書的編號,注意:第一次更新證書吊銷列表前才需要執(zhí)行。
[root@CentOS7 CA]# echo 01 > crlnumber4.3更新證書吊銷列表
[root@CentOS7 CA]# openssl ca -gencrl -out crl.pem
Using configuration from /etc/pki/tls/openssl.cnf4.4查看crl文件
[root@CentOS7 CA]# openssl crl -in crl.pem -noout -text將申請下來的證書導出到windows中查看
1.在windows上按"win+R"鍵,然后運行"certmgr.msc"命令。
2.找到“受信任的根證書頒發(fā)機構”右鍵單擊“所有任務”--->“導入”,然后按照向導選擇在Linux申請下來的證書。
3.查看證書信息
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。
當前題目:使用OpenSSL創(chuàng)建CA和申請證書-創(chuàng)新互聯(lián)
當前URL:http://chinadenli.net/article46/cojdeg.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設計、網(wǎng)站排名、企業(yè)建站、手機網(wǎng)站建設、用戶體驗、動態(tài)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容
- WAF的工作機制-創(chuàng)新互聯(lián)
- Python3中contextvars模塊是什么-創(chuàng)新互聯(lián)
- 劍指offer:對稱的二叉樹-創(chuàng)新互聯(lián)
- 【融云分析】從過剩存儲資源到分布式時序數(shù)據(jù)庫的長存儲-創(chuàng)新互聯(lián)
- Spring中怎么使用ClassPathResource加載xml資源-創(chuàng)新互聯(lián)
- 【goldengate】官方文檔筆記一配置Manager和網(wǎng)絡連接-創(chuàng)新互聯(lián)
- CSS中背景圖片的函數(shù)有哪些-創(chuàng)新互聯(lián)
- 小程序開發(fā)中如果選擇域名注冊和云服務器 2021-03-03
- 新購云服務器需要打開常用端口 2022-12-29
- 云服務器租用究竟有哪些優(yōu)勢呢? 2022-10-07
- 北京網(wǎng)站建設哪些網(wǎng)站合適選擇使用輕云服務器? 2021-06-06
- 低價的云服務器靠譜嗎?低價云服務器選購要點 2022-10-03
- 云服務器托管的好處有哪些? 2022-10-06
- 租用云服務器究竟有哪些優(yōu)勢 2022-10-07
- 為什么超過80%的人會選擇用云服務器搭建網(wǎng)站 2021-02-22
- 如何選擇云服務器?云主機哪家好? 2021-02-15
- 高防云服務器有何優(yōu)勢?適用于哪些場景? 2022-10-06
- 云服務器的應用優(yōu)勢分析,你知道有哪些優(yōu)勢嗎? 2021-03-01
- 云服務器和獨立服務器怎么選 2022-10-05