SSL

Posted 2020-09-28

搭建颁发SSL证书服务器

1. 搭建CA 创建CA私有秘钥  

   (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048 )

   

   完成以后可以tree命令查看

   tree /etc/pki/CA/ 
   

   

   

2. 生成自签名证书

   openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

   

   

   查看自制的CA证书

   openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
   

   

3. 创建证书数据库文件

   touch /etc/pki/CA/index.txt

   
   

4. 创建证书序列号文件（证书序列号必须要是两位）

   echo 10 > /etc/pki/serial

   
   

   客户端申请证书

   1.客户端生成私钥（客户端生成私钥不限制生成路径）

5. 
   

(usmask 066;openssl genrsa -out /app/service.key 4096; )

2.查看生成的秘钥文件

cat /app/service.key

1. 
   

3.利用私钥生成证书请求文件

 openssl req -new -key /app/service.key -out /app/service.csr

填写信息需要，国家，省，公司名字需要跟CA填写的信息保持一致

 泛域名

申请证书的请求文件填写的信息会写在/service.csr

4.把证书请求文件复制到CA服务器

scp /app/service.csr 172.16.250.168:/etc/pki/CA

颁发证书

openssl ca -in /etc/pki/CA/csr/service.csr  -out /etc/pki/CA/certs/service.crt -days 100

可以用tree 命令查看

     10.pem是自动生成的

证书颁发完成以后 会更新数据库，把申请证书填写的信息生成索引

正式颁发完成以后查看serial   显示的是颁发下一个证书的编号

 

查看生成的证书

把生成好的正式拷贝给 申请证书的服务器

证书颁发就此完成

额外

如果客户端申请证书文件填写的信息 与 CA 信息不一致那么颁发证书时会提示信息不一致错误

可以修改证书颁发策略

把策略改为 policy_anything

再次执行颁发证书命令，颁发成功，数据库里面会多一条

老的证书数据库会自动备份一份

查看证书序列表，也会有更改，并且老的证书序列号文件也会备份一份

检查域名必须是唯一性

如果客户端申请证书 使用重复的域名

颁发证书的时候会提示信息重复，

可以把检验证书申请信息的唯一检验，关闭

吊销证书

查看已经颁发的证书

取消9c 证书

查看 数据库（R，状态表示吊销）

手动创建 吊销证书的编号

手动生成吊销列表

查看下一个吊销证书编号

查看吊销的证书