Linux基础服务 ·

OpenSSL创建CA和申请证书

[隐藏]

创建私有 CA

创建所需文件:

创建 CA 自签名证书:

生成私钥:

生成自签名证书:

颁发证书

(a) 在需要使用证书的主机生成证书请求;

例:一个 web 服务请求证书。

生成末端证书私钥

生成末端证书申请文件

(b) 将证书请求文件传输给 CA

(c) CA 签署证书,并将证书颁发给请求者。注意:默认国家,省 ,公司名称必须和 CA 一致。

(d) 查看证书中的信息:

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates

吊销证书

(a) 在客户端获取要吊销的证书的 serial :

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(b) 在 CA 上,根据客户提交的 serial 与 subject 信息,对比检验是否与 index.txt 文件中的信息一致。

吊销证书:

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

(c) 生成吊销证书的编号(第一次吊销一个证书时才需要执行)

echo 01 > /etc/pki/CA/crlnumber

(d) 更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/ca.crl

查看 crl 文件:

openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

openssl的配置文件:/etc/pki/tls/openssl.cnf

参与评论