建立私有CA和证书颁发

建立私有CA和证书颁发

建立私有CA和证书申请

创建CA相关目录和文件----》创建CA的私钥------》给CA颁发自签名证书-------》用户生成私钥和证书申请-------》CA颁发证书-------》查看证书------》将证书相关文件发送到用户端使用-----------》证书吊销--------》生成证书吊销列表文件

#mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
#touch /etc/pki/CA/index.txt
echo 0F > /etc/pki/CA/serial

1.创建CA所需要的文件

生成证书索引数据库文件   touch    /etc/pki/CA/index.txt 指定第一个颁发证书的序列号 echo  01 >  /etc/pki/CA/seral

2.生成CA私钥

Cd  /etc/pki/CA
（umask 066; openssl  genrsa  -out  private/cakey.pem  2048）

3.生成CA自签名证书

Openssl  req  -new  -x509  -key  /etc/pki/CA/private/cakey.pem  -days  3650  -out  /etc/pki/CA/cacert.pem

 

申请证书并颁发证书

1.为需要使用的主机生成私钥

(umask  066  ; openssl  genrsa  -out  /data/test.key  2048)**

2.为需要使用证书的主机生成证书申请文件

openssl  req  -new  -key  /data/test.key  -out  /data/test.csr

3.在CA签署证书并将证书颁发给请求者

openssl  ca  -in  /tmp/test.csr  -out  /etc/pki/CA/certs/test.crt  -days  100

注：默认要求国家，省，公司名称三项必须和CA一致

一个用户默认只能申请一个证书

一个用户，设置申请多个证书，默认只能申请一个证书，申请多个需要修改文件

 ### 查看证书中的信息

openssl  x509  -in  /PATH/FROM/CERT_FILE  -noout  -text|issuer|subject|serial|dates

查看指定编号的证书状态

Openssl  ca  -status  SERIAL

**吊销证书**

**在客户端获取要吊销的证书的serial**
openssl  x509  -in  /PATH/FROM/CERT_FILE  -noout  -serial  -subject

**在CA上，根据客户端提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致，吊销证书**
openssl  ca  -revoke  /etc/pki/CA/newcerts/SERIAL.pem

**指定第一个吊销证书的编号，注：第一次更新证书吊销列表前，才需要执行**
echo  01  >  /etc/pki/CA/crlnumber

**更新证书吊销列表**
openssl  ca  -gencrl  -out  /etc/pki/CA/crl.pem

**查看crl文件**
openssl  crl  -in  /etc/pki/CA/crl.pem  -noout  -text