openssl生成证书
2017-04-17 17:40
204 查看
数字证书: 第三方机构使用一种安全的方式把公钥分发出去 证书格式:x509,pkcs家族 x509格式: 公钥和有效期限: 持有者的个人合法身份信息;(主机名,域名) 证书的使用方式 CA的信息 CA的数字签名 谁给CA发证:自签署证书 用户 1.生成一对密钥 2.把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署) CA机构 1.自签证书,生成密钥对 2.签署证书 3.传给用户 4.维护吊销列表(是否过期) OpenCA(大规模应用) 用openssl实现私有(自建)CA 配置文件/etc/pki/tls/openssl.cnf 命令: 谁给CA发证:自签署证书
CA服务器端: 用openssl实现私有CA: 配置文件:/etc/pki/tls/openssl.cnf
[root@k8s1 CA]# cd /etc/pki/CA 生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥: # (umask 077; openssl genrsa -out private/cakey.pem 2048) 如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥: # openssl rsa -in private/cakey.pem -pubout -text -noout 生成自签证书: # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 countrCountry Name 国家 State or Province Name 州或者省的名字 Locality Name 所在的城市 Organization Name 所在的公司 Organizational Unit Name 所在的部门 Common Name https访问的地址
配置文件:/etc/pki/tls/openssl.cnf
自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。
创建需要的文件: # cd /etc/pki/CA # touch index.txt serial crlnumber 给签发的客户端编号 #echo 01 > serial 客户端: 用openssl实现证书申请: 在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如: # mkdir /etc/httpd/ssl # cd /etc/httpd/ssl # (umask 077; openssl genrsa -out httpd.key 1024) 生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则 CA签署不通过): # openssl req -new -key httpd.key -out httpd.csr
将请求文件发往CA; # scp httpd.csr CA服务器端:/tmp/
CA服务器端:
CA签署证书: 签署: # openssl ca -in /tmp/192.168.20.230.csr -out /tmp/192.168.20.230.crt -days 3650 将证书传回请求者,可以放置到nginx 配置文件下,形成https访问 # scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下, 吊销证书: # openssl ca -revoke /path/to/somefile.crt
相关文章推荐
- openssl生成证书命令详解
- 安全通信系统--OpenSSL的安装编译、证书生成
- OpenSSL使用1(用OpenSSL生成自签名证书在IIS上搭建Https站点)(用于iOS的https访问)
- openssl生成证书
- OpenSSL 1.0.0生成p12、jks、crt等格式证书
- openSSL将.crt证书生成.bks
- 安全通信系统--OpenSSL的安装编译、证书生成
- java中keytool生成的jks证书转换为openssl格式证书
- Tomcat6配置使用SSL双向认证(使用openssl生成证书)
- openssl生成证书以及获取公钥和私钥
- 使用OpenSSL生成证书,并且配置到tomcat,下载ipa
- qt使用sslSocket及openssl生成证书__心得
- PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解
- "iOS push全方位解析(二)【译文】"——生成OpenSSL证书,Provisioning Profile
- 实验:用OpenSSL命令行生成证书
- Openssl 生成多级证书
- openssl手工生成证书
- 最新Https请求原理、OPenssl生成证书、nginx的https配置
- 使用OpenSSL生成证书
- IPsec certificate身份验证-openssl生成证书