Easy-RSA 3快速入门自述文件
这是使用Easy-RSA版本3的快速入门指南。运行./easyrsa -h可以找到有关使用和特定命令的详细帮助。可以在doc /目录中找到其他文档。
如果您从Easy-RSA 2.x系列升级,则可以使用doc-path下的Upgrade-Notes。
以下是启动新PKI并签署您的第一个实体证书需要进行的快速运行:
-
选择一个系统作为您的CA并创建一个新的PKI和CA:
./easyrsa init-pki ./easyrsa build-ca
-
在请求证书的系统上,初始化其自己的PKI并生成密钥对/请求。请注意,仅当在单独的系统(或至少单独的PKI目录)上完成此操作时才使用init-pki 。这是建议的过程。如果您未使用此建议过程,请跳过下一个import-req步骤。
./easyrsa init-pki ./easyrsa gen-req EntityName
-
将请求(.req文件)传输到CA系统并导入它。此处给出的名称是任意的,仅用于命名请求文件。
./easyrsa import-req /tmp/path/to/import.req EntityName
-
将请求签名为正确的类型。此示例使用客户端类型:
./easyrsa sign-req client EntityName
-
将新签名的证书传输到请求实体。除非事先有副本,否则该实体可能还需要CA证书(ca.crt)。
-
该实体现在拥有自己的密钥对,签名证书和CA.
按照上面的步骤2-6生成后续密钥对,并让CA返回签名证书。
这是CA特定的任务。
要永久撤消已颁发的证书,请提供导入期间使用的短名称:
./easyrsa revoke EntityName
要创建包含所有已撤销的证书的更新CRL,请执行以下操作:
./easyrsa gen-crl
生成后,需要将CRL发送到引用它的系统。
初始化PKI后,任何实体都可以创建需要它们的DH参数。这通常仅由TLS服务器使用。虽然CA PKI可以生成这个,但在服务器本身上执行它更有意义,以避免在生成后将文件发送到另一个系统。
DH params可以生成:
./easyrsa gen-dh
要通过引用短EntityName来显示请求或证书的详细信息,请使用以下命令之一。没有匹配的文件调用它们是错误的。
./easyrsa show-req EntityName ./easyrsa show-cert EntityName
RSA和EC私钥可以重新加密,因此可以使用以下命令之一提供新密码,具体取决于密钥类型:
./easyrsa set-rsa-pass EntityName ./easyrsa set-ec-pass EntityName
可选地,可以使用'nopass'标志完全删除密码短语。有关详细信息,请参阅命令帮助