OpenSLL之建立私有CA

一、CA證書的格式

數(shù)字證書的格式(x.509 v3)：

版本號（version）

序列號(serial number)：CA用于惟一標(biāo)識此證書；

簽名算法標(biāo)志(Signature algorithm identifier)

發(fā)行者的名稱：即CA自己的名稱；

有效期：兩個(gè)日期，起始日期和終止日期；

證書主體名稱：證書擁有者自己的名字

證書主體公鑰信息：證書擁有者自己的公鑰；

發(fā)行商的惟一標(biāo)識：

證書主體的惟一標(biāo)識：

擴(kuò)展信息：

簽名：CA對此證書的數(shù)字簽名；

二、建立自己的CA

使用OpenSSL構(gòu)建私有CA的步驟：

1、生成私鑰；

2、生成自簽署證書；

(1) 私鑰用于簽發(fā)證書時(shí)，向證書添加數(shù)字簽名使用；

(2) 證書：每個(gè)通信方都導(dǎo)入此證書至“受信任的證書頒發(fā)機(jī)構(gòu)”；

配置文件：/etc/pki/tls/openssl.cnf

工作目錄：/etc/pki/CA/

三、開始建立私有CA：

1、生成私鑰文件: /etc/pki/CA/private/cakey.pem

2、生成自簽證書

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #

            -new: 生成新的證書簽署請求；

            -key：私鑰文件路徑，用于提取公鑰；

            -days N: 證書有效時(shí)長，單位為“天”；

            -out：輸出文件保存位置；

            -x509：直接輸出自簽署的證書文件，通常只有構(gòu)建CA時(shí)才這么用；

                                假如我們的公司在中國河南鄭州叫MEITUAN,部門名稱YOUHUI，網(wǎng)站叫www。meituan.com

3、提供必要的輔助文件以便將來別人向我申請證書時(shí)或撤銷證書時(shí)，我可以自動(dòng)記錄他們的信息

                                在etc/pki/CA下創(chuàng)建index.txt文件

                                # touch /etc/pki/CA/index.txt

                                并創(chuàng)建serial目錄文件，向文件你添加一個(gè)開始序號

                                # echo 01 > /etc/pki/CA/serial

四、向CA申請證書

    1.生成自己的私鑰

    2.生成證書簽署請求文件

     openssl req -new -key .. -out .. -days ..

     證書簽署請求里面的選項(xiàng)除了common name一項(xiàng)填寫自己的網(wǎng)站外，其余的必須與CA簽發(fā)機(jī)構(gòu)一致

    3.把請求文件發(fā)送給CA

     用優(yōu)盤拷過去或者郵件發(fā)過去

五、CA簽發(fā)證書

    1.驗(yàn)證請求者身份信息

    2.簽署證書

openssl ca -in /etc/httpd/ssl/cakey.csr -out /etc/httpd/ssl/cakey.crt -days 365

    3.把簽好的證書發(fā)還給請求者

六、吊銷證書

    1、獲取吊銷證書的序列號

     openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

    2、吊銷證書

    openssl ca -revoke /PATH/FROM/CRT-FILE

    3、生成吊銷編號

    echo 01 > /etc/pki/CA/crlnumber

好了。。就這了