author:JevonWei
版权声明:原创作品
CA证书的相关文件路径
-
openssl配置文件/etc/pki/tls/openssl.cnf
-
/etc/pki/tls/openssl.cnf
CA相关文件都在/etc/pki/CA/目录下 /etc/pki/CA/cert 存放发布证书 /etc/pki/CA/crl 证书吊销列表 /etc/pki/CA/index.txt 证书编号等索引数据库文件 /etc/pki/CA/newcerts 新颁发证书存放目录 /etc/pki/CA/cacert.pem CA服务端的自签名证书 /etc/pki/CA/serial 下一个将要颁发证书的序列号 /etc/pki/CA/crlnumber 吊销证书的编号 /etc/pki/CA/crl.pem 吊销证书存放的文件 /etc/pki/CA/private/cakey.pem 证书的私钥文件 policy = policy_match/policy_anything [ policy_match ] (match意为必须匹配,optional为可选,也可不匹配) countryName = match \国家地点 stateOrProvinceName = match \省/州地区 organizationName = match \ 公司部门 organizationalUnitName = optional commonName = supplied emailAddress = optional [ policy_anything ] (不强制信息对应匹配) countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional
创建CA证书及客户端申请证书
主机A为CA服务端,主机B为客户端申请CA
主机A
-
创建所需要的文件
[root@danran app]# touch /etc/pki/CA/index.txt 生成证书的索引数据库文件 [root@danran app]# echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号,序列号必须为两位,且序列号是十六进制存储 -
CA自签证书
生成私钥文件 (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 小括号开启子进程,umask修改umask值从而修改私钥文件的权限,2018为加密位数,genrsa为rsa加密算法 生成自签名证书 openssl req -new -x509 –keys /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem req 请求 -new:生成新证书签署请求 -x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out 输出CA自签名文件
如下图,依次输入申请CA证书的国家、省份地区、所在城市、公司、部门、服务主机名及Email地址,根据/etc/pki/tls/openssl.cnf配置文件的中的policy = policy_match/policy_anything策略的不同, 有些选项必须要写且匹配,则有些选项可省略不写或信息不需匹配,再此/etc/pki/tls/openssl.cnf配置文件的中的policy策略为:policy = policy_match,则要求国家、省份、公司信息必须填写且信息一致
查看自签名证书的信息 openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
主机B
-
生成私钥文件
(umask 066;openssl genrsa -out /app/service.key 2048) 小括号开启子进程,umask修改umask值从而修改私钥文件的权限,2018为加密位数,genrsa为rsa加密算法,私钥文件存放路径不唯一,再此试验中将私钥文件存放于/app目录下命名为service.key -
使用私钥文件创建证书申请文件
req -new -key /app/service.key -out /app/service.csr 根据/app/service.key私钥文件生成证书申请文件并存放在/app/service.csr
如下图,依次输入所在国家、省份州、城市等地区及公司、部门、需要申请证书的web服务域名、Email地址、加密口令和公司可选项,根据/etc/pki/tls/openssl.cnf配置文件的中的policy = policy_match/策略,国家,省份、公司信息必须与CA服务端填写的信息一致
-
将证书申请文件/app/service.csr传送给CA服务端
scp /app/service.csr 192.168.198.134:/etc/pki/CA/csr 复制/app/service.csr证书申请文件到/etc/pki/CA/csr目录下,/etc/pki/CA/csr路径不是唯一的,可自定义
主机A
-
CA签署证书,将证书颁发给请求者
openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 10 根据/etc/pki/CA/csr/service.csr证书的申请文件从而颁发证书并将证书存放在/etc/pki/CA/certs/service.crt中,指定证书的有效期为10天
-
查看/etc/pki/CA下的文件
tree /etc/pki/CA/ ll /etc/pki/CA/certs/service.crt /etc/pki/CA/newcerts/01.pem 证书的路径/etc/pki/CA/certs/service.crt和/etc/pki/CA/newcerts/01.pem是完全相同的
-
查看证书数据库中的信息
cat /etc/pki/CA/index.txt
-
查看证书信息
openssl -x509 -in /etc/pki/CA/certs/service.crt -noout -text
主机B再次为新的web服务申请证书
主机B
-
生成新的证书申请文件
申请过证书的主机,若需要再次为某个新的web服务申请证书,则不需要再次生成新的秘钥,使用之前申请证书的秘钥再次申请新的证书即可,秘钥的路径为/app/service.keyopenssl req -new -key /app/service.key -out /app/service2.csr
根据/etc/pki/tls/openssl.cnf配置文件的中的policy = policy_match配置文件的此策略可知,Country Name、State or Province Name、Organization Name此三项输入信息必须跟CA服务端的信息对应匹配,若有一项信息输入不匹配,则CA颁发证书时将提示错误信息不予颁发,键入信息如下图
-
将证书申请文件/app/service2.csr传送到CA服务端
scp /app/service2.csr 192.168.198.134:/etc/pki/CA/csr
主机A
-
根据主机B的证书申请文件为此颁发CA证书
openssl ca -in /etc/pki/CA/csr/service2.csr -out /etc/pki/CA/certs/service2.crt -days 30 \证书有效期为30天
由于证书申请文件的Country Name、State or Province Name输入信息与CA服务端的信息不对应匹配,故证书颁发失败,如下图
- 若想证书继续颁发,有以下三种解决方法
-
证书申请者主机B重新生成证书申请文件,然后转送给CA服务端
openssl req -new -key /app/service.key -out /app/service2.csr
-
CA服务端将/etc/pki/tls/openssl.cnf配置文件的中的policy = policy_match策略中的countryName、stateOrProvinceName选项修改为optional
[ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional 修改为 [ policy_match ] countryName = optional stateOrProvinceName = optional organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional -
CA服务端将/etc/pki/tls/openssl.cnf配置的文件的policy = policy_match修改为policy = policy_anything,policy_anything即为任何选项都不需要 必须匹配,如下图
修改为
-
CA服务端根据证书申请文件重新为申请者颁发证书
openssl ca -in /etc/pki/CA/csr/service2.csr -out /etc/pki/CA/certs/service2.crt -days 30
-
查看颁发证书的信息
openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -text \-text以文本的方式查看
查看证书数据库的数据信息 [root@danran CA]# cat /etc/pki/CA/index.txt V 170726140620Z 01 unknown /C=CN/ST=henan/O=mage/OU=24/CN=www.danran.com V 170816022756Z 02 unknown /C=US/ST=NewYork/L=ny/O=danran.com/OU=24/CN=www.Jevon.com 颁发新的证书时,同时为旧的证书做备份 [root@danran CA]# cat /etc/pki/CA/index.txt.old V 170726140620Z 01 unknown /C=CN/ST=henan/O=mage/OU=24/CN=www.danran.com 设定subject(服务主机域名)是否唯一,默认subject必须唯一 [root@danran CA]# cat /etc/pki/CA/index.txt.attr unique_subject = yes 证书的索引编号信息 [root@danran CA]# cat /etc/pki/CA/serial 03 [root@danran CA]# cat /etc/pki/CA/serial.old 02 -
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text|issuer|subject|serial|dates 查看证书中的信息,如发布者、标题、序列号、时间等
主机B重新生成一个主机域名为www.danran.com的证书申请文件
-
主机B生成证书申请文件,并传送给CA服务端
openssl req -new -key /app/service.key -out /app/service3.csr scp /app/service3.csr 192.168.198.134:/etc/pki/CA/csr
-
CA服务端为第二个subject为www.danran.com的服务域名颁发证书,则颁发失败
openssl ca -in /etc/pki/CA/csr/service3.csr -out /etc/pki/CA/certs/service4.crt -days 30
-
证书颁发失败的原因
unique_subject = yes \意为完全相同的证书申请文件不能申请两个证书
修改/etc/pki/CA/index.txt.attr文件中的unique_subject = no 即可不检查唯一性,实现由一份申请文件申请两个证书 [root@danran CA]# cat /etc/pki/CA/index.txt.attr unique_subject = no
-
CA为主机B重新生成一个www.danran.comde证书
openssl req -new -key /app/service3.key -out /app/service4.csr scp /app/service3.csr 192.168.198.134:/etc/pki/CA/csr
ll /etc/pki/CA/certs/service2.crt /etc/pki/CA/certs/service4.crt \比较两个证书文件即相同
吊销证书
CA服务端取消06.pem证书
openssl ca -revoke /etc/pki/CA/newcerts/06.pem
查看证书数据库中的06.pem证书状态
cat /etc/pki/CA/index.txt
指定第一个要吊销证书的编号
第一次更新证书吊销列表前才需要执行,/etc/pki/CA/crlnumber第一次需要新建
echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表(吊销证书路径/etc/pki/CA/crl.pem)
ca -gencrl -out /etc/pki/CA/crl.pem
查看吊销证书的信息
openssl crl -in /etc/pki/CA/crl.pem -noout -text
