建立私有CA

Posted 绮梦小煊

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了建立私有CA相关的知识,希望对你有一定的参考价值。

建立私有CA

CA:Cerieificate Authority证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证

由于向国际根CA注册证书是要钱的,所以通常在公司内部我们需要用到证书进行安全通信时,可以自己搭建一个公司内部的CA,来满足公司内网的安全传输需求。

现在我们就来建立一个私有CA,并申请证书。

openssl的配置文件:/etc/pki/tls/openssl.cnf

三种策略:匹配、支持和可选

匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1、创建所需要的文件

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

如果没有创建文件的话后面会报错,那时创建文件也没关系。

2、 CA自签证书

生成私钥

cd /etc/pki/CA/

(umask 066; openssl genrsa -out private/cakey.pem –des3 2048)

在生成私钥时最好加上密码 -des3 虽然使用起来每次都要输入密码,但是更安全。

这样私钥文件就生成好了。

接下来生成自签名证书

openssl req -new -x509 –key private/cakey.pem -days 3650 -out

/etc/pki/CA/cacert.pem

-new: 生成新证书签署请求

-x509: 专用于CA生成自签证书

-key: 生成请求时用到的私钥文件

-days n:证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存路径

接下来就是输入CA信息

我们可以把生成的文件传到实体机桌面上,将后缀改为.cer查看

使用sz命令 将文件传输到实体机桌面

这样自签名证书就生成好了,接下来就是申请证书和签证了,首先在需要使用证书的机器生成证书请求。

给web服务器生成私钥

(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key –des3 2048) 同样我们给私钥加上密码

这样需要使用证书的机器的私钥就生成好了,接下来生成证书申请文件

openssl req -new -key /etc/pki/tls/private/test.key -days 3650 -out etc/pki/tls/test.csr

又到了输入信息的时候了,但是这次要注意了,默认国家,省,公司名称三项必须和CA一致!最后两行信息就可以不写了。

这样证书申请文件就生成好了,接下来就是申请证书了,将证书文件传输给CA。

接下来就是签发证书了

CA签署证书,并将证书颁发给请求者

openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 3650

这样证书就签好了。接下来查看证书中的信息:

把证书文件导出虚拟机,并加上后缀 .cer

openssl x509 -in /PATH/FROM/CERT_FILE -noout

-text|issuer|subject|serial|dates

openssl ca -status SERIAL 查看指定编号的证书状态

这样私有CA就建立完成并且可以签发证书了。

以上是关于建立私有CA的主要内容,如果未能解决你的问题,请参考以下文章

建立私有CA

建立私有CA

建立私有CA及Nginx绑定SSL加密

利用openssl建立私有CA

利用openssl建立私有CA

建立私有CA实现证书申请版本