查看: 143|回复: 1

用Openssl建立私有CA并颁发证书的过程

[复制链接]
论坛徽章:
5
Excel徽章
日期:2017-04-20 17:17:21知识图谱徽章
日期:2018-06-15 13:47:35机器学习徽章
日期:2018-10-11 15:50:07机器学习徽章
日期:2019-01-24 16:03:30python徽章
日期:2019-01-30 10:33:01
发表于 2019-4-15 09:32 | 显示全部楼层 |阅读模式

服务器

openssl x509 -req -in rootreq.pem -sha1 -extfile ./myopenssl.cnf -extensions v3_ca -signkey rootkey.pem -out rootcert.pem -days 3650



1.3组合证书与私钥,形成CA根证书

cat rootcert.pem rootkey.pem > root.pem



1.4显示,检查根证书主题与发行者

openssl x509 -subject -issuer -noout -in root.pem



2.创建,颁发二级CA证书



2.1创建二级CA跟证书私钥

openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf -keyout serverCAkey.pem -out serverCAreq.pem -days 3650



2.2生成二级CA证书,并用CA证书签名

openssl x509 -req -in serverCAreq.pem -sha1 -extfile ./myopenssl.cnf -extensions v3_ca -CA root.pem -CAkey root.pem -CAcreateserial -out serverCAcert.pem -days 3650



2.3组合二级CA证书与二级CA私要,形成二级CA证书

cat serverCAcert.pem serverCAkey.pem rootcert.pem >serverCA.pem



2.4显示,检查二级CA根证书主题与发行者

openssl x509 -subject -issuer -noout -in serverCA.pem



3.创建,颁发服务端证书



3.1创建服务端正书私钥

openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf -keyout serverkey.pem -out serverreq.pem -days 3650



3.2创建服务端正书,并签名

openssl x509 -req -in serverreq.pem -sha1 -extfile ./myopenssl.cnf -extensions usr_cert -CA serverCA.pem -CAkey serverCA.pem -CAcreateserial -out servercert.pem -days 3650



3.3组合私钥与证书,形成服务端正书

cat servercert.pem serverkey.pem serverCAcert.pem rootcert.pem > server.pem



3.4显示,检查服务段证书的主题与发行者

openssl x509 -subject -issuer -noout -in server.pem



4.创建颁发客户端证书



4.1创建客户端证书私钥

openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf -keyout clientkey.pem -out clientreq.pem -days 3650



4.2创建客户端证书,并签名

openssl x509 -req -in clientreq.pem -sha1 -extfile ./myopenssl.cnf -extensions usr_cert -CA root.pem -CAkey root.pem -CAcreateserial -out clientcert.pem -days 3650



4.3组合私钥与证书,形成客户端证书

cat clientcert.pem clientkey.pem rootcert.pem > client.pem



4.4显示,检查服务段证书的主题与发行者

openssl x509 -subject -issuer -noout -in client.pem



5.随机数生成

5.1生成512bit大数

openssl dhparam -check -text -5 512 -out dh512.pem



5.2生成1024bit大数 openssl dhparam -check -text -5 1024 -out dh1024.pem



6.验证证书有效性

6.1用二级CA验证服务器证书

openssl verify -CAfile serverCA.pem server.pem





回复

使用道具 举报

论坛徽章:
19
linux徽章
日期:2015-10-29 16:08:22spark徽章
日期:2018-10-11 15:45:58Oracle研习者高级
日期:2018-09-04 16:06:01mysql徽章
日期:2018-02-01 17:47:18mysql徽章
日期:2018-01-18 18:01:34zabbix徽章
日期:2017-12-25 17:34:14Tomcat徽章
日期:2017-11-16 17:41:48高并发架构徽章
日期:2017-08-10 15:32:13Oracle研习者初级
日期:2017-07-11 15:59:41bash徽章
日期:2017-06-01 17:10:16HBase徽章
日期:2017-03-10 12:01:24Oracle研习者初级
日期:2016-11-17 16:07:38
发表于 2019-4-21 09:51 | 显示全部楼层
这篇介绍用Openssl建立私有CA并颁发证书的过程很详细,谢谢分享!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆

本版积分规则

 

GMT+8, 2019-6-25 04:01 , Processed in 0.636058 second(s), 31 queries .