openssl自建CA

 

    首先建立CA服务

    使用openssl建立私有ca需以下三步

    第一步 ca服务端需先生成自己的密钥再从密钥中提取公钥,第二步客户端也要生成密钥对再做生成证书签署请求而后把请求发给ca服务器端,第三步ca服务器端验证请求信息而后签署证书

    选取两个主机一个ip172.16.100.101ca服务器,另一个ip172.16.100.86ca申请者具体操作如下:

 生成私钥

openssl自建CA_搭建 

     自签署证书得公钥信息

openssl自建CA_openssl_02 

    初始化工作环境

openssl自建CA_ca_03 

    ls一下

openssl自建CA_ca_04 

    节点生成请求在httpd目录下创建ssl/

openssl自建CA_openssl_05 

 

    客户端生成密钥对

openssl自建CA_openssl_06 

    生成证书签署请求

openssl自建CA_搭建_07 

    在CA服务器端CA目录下创建csr/目录。

    客户端把签署请求发送给CA服务器并放在csr/目录下。

openssl自建CA_ca_08 

 

    CA服务器端签证

openssl自建CA_ca_09 

    再发给客户端

openssl自建CA_openssl_10 

 

     如果要吊销证书,证书申请者需先有吊销证书请求。吊销证书获得证书序列号

openssl自建CA_openssl_11 

     在ca服务器端一下信息可以跟节点提交的序列号和subject信息验证是否一致

openssl自建CA_ca_12 

     ca服务器端吊销操作

openssl自建CA_搭建_13 

    如果第一次做吊销需生成吊销证书编码

    #echo 00 > /etc/pki/CA/crlnumber

    查看吊销文件内容

openssl自建CA_ca_14