CA数字证书

CA,Certificate Authority

数字证书授权中心

-被通信双方信任的,独立的第三方机构

-负责证书颁发,验证,撤销等管理

部署CA服务器

自定义机构名称与CA服务器主机名

机构名称:xiaoren

CA服务器主机名 www.xiaoren.cn

第一步:部署CA证书签署环境

# vim /etc/pki/tls/openssl.cnf    //配置文件

42行 dir              /etc/pki/CA/        //CA签署工作目录

43行 certs          = $dir/certs         //用户证书存放路径

45行 database   = $dir/index.txt   //存放发出的数字证书,默认不存在,需要创建

50行 certificate  = $dir/my-ca.crt   //CA根证书文件,可自定义一个易记的名字

51行 serial         = $dir/serial         //证书编号文件

55行 private_key = $dir/private/my-ca.key        //CA私钥文件,可自定义一个易记的名字

130行 countryName_default                    = CN         //国家名称

135行 stateOrProvinceName_default      = beijing     //所在省

138行 localityName_default                     = beijing     //城市

141行 0.organizationName_default         = xiaoren    //机构名称

148行 organizationalUnitName_default   = ope         //部门名称

根据配置文件的设置创建对应的文件,为了安全可以设置权限

# touch /etc/pki/CA/index.txt

# chmod 600 /etc/pki/CA/index.txt

# echo 01 > /etc/pki/CA/serial

# chmod 600 /etc/pki/CA/serial  

 

第二步:创建私钥文件

# cd /etc/pki/CA/private/

# openssl genrsa -des3 2048 > my-ca.key  //私钥名字与配置文件设置相匹配

…..

Enter pass phrase:   //设置私钥口令密码

Verifying – Enter pass phrase:  //重复输入

# cat my-ca.key

# chmod 600 my-ca.key

 

第三步:创建根证书文件

# cd /etc/pki/CA/

# openssl req -new -x509 -key ./private/my-ca.key -days 365 > my-ca.crt

 -new新文件   -x509根证书格式   -key 调用文件   -days指定有效期

Common Name (eg, your name or your server\’s hostname) []:www.xiaoren.cn  //主机名,与前面相匹配

Email Address []:xiao@163.com  //邮箱地址,设置自己的

 

第四步:共享根证书给客户端,使用httpd服务共享

# mkdir /var/www/html/ca      //在网站服务下建一个目录

# cp /etc/pki/CA/my-ca.crt /var/www/html/ca    //将根证书文件拷贝到网页下

# chmod +r /var/www/html/ca/my-ca.crt 

# systemctl restart httpd

客户端测试(下载根证书)

使用浏览器访问CA服务器

版权声明:本文为xiaoren112原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/xiaoren112/p/8390582.html