OpenSLL之建立私有CA

一、CA證書的格式

數字證書的格式(x.509 v3)：

版本號（version）

序列號(serial number)：CA用于惟一標識此證書；

簽名算法標志(Signature algorithm identifier)

發行者的名稱：即CA自己的名稱；

有效期：兩個日期，起始日期和終止日期；

證書主體名稱：證書擁有者自己的名字

證書主體公鑰信息：證書擁有者自己的公鑰；

發行商的惟一標識：

證書主體的惟一標識：

擴展信息：

簽名：CA對此證書的數字簽名；

二、建立自己的CA

使用OpenSSL構建私有CA的步驟：

1、生成私鑰；

2、生成自簽署證書；

(1) 私鑰用于簽發證書時，向證書添加數字簽名使用；

(2) 證書：每個通信方都導入此證書至“受信任的證書頒發機構”；

配置文件：/etc/pki/tls/openssl.cnf

工作目錄：/etc/pki/CA/

三、開始建立私有CA：

1、生成私鑰文件: /etc/pki/CA/private/cakey.pem

2、生成自簽證書

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #

            -new: 生成新的證書簽署請求；

            -key：私鑰文件路徑，用于提取公鑰；

            -days N: 證書有效時長，單位為“天”；

            -out：輸出文件保存位置；

            -x509：直接輸出自簽署的證書文件，通常只有構建CA時才這么用；

                                假如我們的公司在中國河南鄭州叫MEITUAN,部門名稱YOUHUI，網站叫www。meituan.com

3、提供必要的輔助文件以便將來別人向我申請證書時或撤銷證書時，我可以自動記錄他們的信息

                                在etc/pki/CA下創建index.txt文件

                                # touch /etc/pki/CA/index.txt

                                并創建serial目錄文件，向文件你添加一個開始序號

                                # echo 01 > /etc/pki/CA/serial

四、向CA申請證書

    1.生成自己的私鑰

    2.生成證書簽署請求文件

     openssl req -new -key .. -out .. -days ..

     證書簽署請求里面的選項除了common name一項填寫自己的網站外，其余的必須與CA簽發機構一致

    3.把請求文件發送給CA

     用優盤拷過去或者郵件發過去

五、CA簽發證書

    1.驗證請求者身份信息

    2.簽署證書

openssl ca -in /etc/httpd/ssl/cakey.csr -out /etc/httpd/ssl/cakey.crt -days 365

    3.把簽好的證書發還給請求者

六、吊銷證書

    1、獲取吊銷證書的序列號

     openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

    2、吊銷證書

    openssl ca -revoke /PATH/FROM/CRT-FILE

    3、生成吊銷編號

    echo 01 > /etc/pki/CA/crlnumber

好了。。就這了