创建私有CA

Posted 2021-02-06

创建私有CA
openssl的配置文件：/etc/pki/tls/openssl.cnf
(1)创建所需要的文件
touch index.txt
echo 01 > serial
(2)CA自签证书
（umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048）
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.perm
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days:证书的有效期限
-out:/PATH/TO/SOMECERTFILE证书的保存路径：
(3)发证
（a）用到证书的主机生成证书请求
(umask 077;openssl genrsa -out /data/test.key 2048)
openssl req -new -key /data/test.key -days 365 -out /data/test.csr
（b）把请求文件传输给CA
scp /data/test.csr 主机ip
(c) CA签署证书，并将证书发还给请求者
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
还给请求者用scp命令
查看证书中的信息
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -text|-subject|-serail|dates|issuer
(4)吊销证书
（a）客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERFILe.crt -noout -serial -subject
(b)CA
先根据客户提交的serial与subject信息 ，对比检验是否与index.txt文件中的信息一致
吊销证书
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(c)生成吊销证书的编号（第一次吊销时需要执行下面的命令）
echo 01 >/etc/pki/CA/crlnumber
(d)更新证书吊销列表
openssl ca -gencrl -out thisca.crl
查看crl文件
openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text