CentOS8 CA服务器

Posted 陈发哥007

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CentOS8 CA服务器相关的知识,希望对你有一定的参考价值。

比赛题目要求

配置 Linux-1 为 CA 服务器,为所有 Linux 主机颁发证书,不允许修改/etc/pki/tls/openssl.conf。CA 证书有效期 20 年,CA 颁发证书有效期均为 10年,证书的通用名称均用主机的完全合格域名,证书信息:国家=“CN”,省=“Beijing” ,市/县=“Beijing” ,组织=“skills” ,组织单位=“system” 。

CA的理论知识

证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。

openssl中有如下后缀名的文件:

.key格式:密钥

.crt格式:证书文件,certificate的缩写

.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写

.crl格式:证书吊销列表,Certificate Revocation List的缩写

.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式


手动创建必须的目录和文件

mkdir -p /etc/pki/CA
cd /etc/pki/CA
mkdir certs,crl,newcerts,private
touch index.txt #证书的索引数据库文件
echo 01 >serial #存放每个证书的编号文件

生成CA的私钥

(umask 077;openssl genrsa -out private/cakey.pem 2048)

生成自签名的CA证书,实际上是CA的公钥

[root@cs1 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
……
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:skills
Organizational Unit Name (eg, section) []:system
Common Name (eg, your name or your servers hostname) []:cs1.skills.com
Email Address []:

查看CA的自签证书详细内容命令

[root@cs1 CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5c:ac:f4:c7:4d:fd:ce:78:88:f2:05:bf:c9:22:fb:0b:a3:cc:71:7a
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
        Validity
            Not Before: Dec 18 19:26:23 2021 GMT
            Not After : Dec 13 19:26:23 2041 GMT
        Subject: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

验证命令:到这里,CA就已经配置好了

[root@cs1 CA]# date
20211219日 星期日 03:40:12 CST
[root@cs1 CA]# openssl x509  -in /etc/pki/CA/cacert.pem -noout -subject -issuer -enddate
subject=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
issuer=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
notAfter=Dec 13 19:26:23 2041 GMT






























以上是关于CentOS8 CA服务器的主要内容,如果未能解决你的问题,请参考以下文章

“CA2000 在失去范围之前处理对象”,原因不明

centos8 使用 chrony 作为 NTP 服务器

GIT系列——centos8环境下搭建GitLab代码仓库管理服务

Centos8安装GitLab14.2开源代码托管工具

Centos8部署Openstack(U版本)

[TIA PORTAL][CONVERT] Convert Char Array to DInt...DInt to Char Array..Useful and easy function(代码片段