一、CA證書(shū)的格式

從策劃到設(shè)計(jì)制作，每一步都追求做到細(xì)膩，制作可持續(xù)發(fā)展的企業(yè)網(wǎng)站。為客戶(hù)提供成都做網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站策劃、網(wǎng)頁(yè)設(shè)計(jì)、域名注冊(cè)、虛擬空間、網(wǎng)絡(luò)營(yíng)銷(xiāo)、VI設(shè)計(jì)、 網(wǎng)站改版、漏洞修補(bǔ)等服務(wù)。為客戶(hù)提供更好的一站式互聯(lián)網(wǎng)解決方案,以客戶(hù)的口碑塑造優(yōu)易品牌,攜手廣大客戶(hù),共同發(fā)展進(jìn)步。

數(shù)字證書(shū)的格式(x.509 v3)：

版本號(hào)（version）

序列號(hào)(serial number)：CA用于惟一標(biāo)識(shí)此證書(shū)；

簽名算法標(biāo)志(Signature algorithm identifier)

發(fā)行者的名稱(chēng)：即CA自己的名稱(chēng)；

有效期：兩個(gè)日期，起始日期和終止日期；

證書(shū)主體名稱(chēng)：證書(shū)擁有者自己的名字

證書(shū)主體公鑰信息：證書(shū)擁有者自己的公鑰；

發(fā)行商的惟一標(biāo)識(shí)：

證書(shū)主體的惟一標(biāo)識(shí)：

擴(kuò)展信息：

簽名：CA對(duì)此證書(shū)的數(shù)字簽名；

二、建立自己的CA

使用OpenSSL構(gòu)建私有CA的步驟：

1、生成私鑰；

2、生成自簽署證書(shū)；

(1) 私鑰用于簽發(fā)證書(shū)時(shí)，向證書(shū)添加數(shù)字簽名使用；

(2) 證書(shū)：每個(gè)通信方都導(dǎo)入此證書(shū)至“受信任的證書(shū)頒發(fā)機(jī)構(gòu)”；

配置文件：/etc/pki/tls/openssl.cnf

                

工作目錄：/etc/pki/CA/

                

三、開(kāi)始建立私有CA：

1、生成私鑰文件: /etc/pki/CA/private/cakey.pem

         

2、生成自簽證書(shū)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #

            -new: 生成新的證書(shū)簽署請(qǐng)求；

            -key：私鑰文件路徑，用于提取公鑰；

            -days N: 證書(shū)有效時(shí)長(zhǎng)，單位為“天”；

            -out：輸出文件保存位置；

            -x509：直接輸出自簽署的證書(shū)文件，通常只有構(gòu)建CA時(shí)才這么用；

                                假如我們的公司在中國(guó)河南鄭州叫MEITUAN,部門(mén)名稱(chēng)YOUHUI，網(wǎng)站叫www。meituan.com

                         

3、提供必要的輔助文件以便將來(lái)別人向我申請(qǐng)證書(shū)時(shí)或撤銷(xiāo)證書(shū)時(shí)，我可以自動(dòng)記錄他們的信息

                                在etc/pki/CA下創(chuàng)建index.txt文件

                                # touch /etc/pki/CA/index.txt

                                并創(chuàng)建serial目錄文件，向文件你添加一個(gè)開(kāi)始序號(hào)

                                # echo 01 > /etc/pki/CA/serial

四、向CA申請(qǐng)證書(shū)

  1.生成自己的私鑰

   

  2.生成證書(shū)簽署請(qǐng)求文件

   openssl req -new -key .. -out .. -days ..

   證書(shū)簽署請(qǐng)求里面的選項(xiàng)除了common name一項(xiàng)填寫(xiě)自己的網(wǎng)站外，其余的必須與CA簽發(fā)機(jī)構(gòu)一致

  3.把請(qǐng)求文件發(fā)送給CA

   用優(yōu)盤(pán)拷過(guò)去或者郵件發(fā)過(guò)去

五、CA簽發(fā)證書(shū)

  1.驗(yàn)證請(qǐng)求者身份信息

  2.簽署證書(shū)

openssl ca -in /etc/httpd/ssl/cakey.csr -out /etc/httpd/ssl/cakey.crt -days 365

  3.把簽好的證書(shū)發(fā)還給請(qǐng)求者

六、吊銷(xiāo)證書(shū)

  1、獲取吊銷(xiāo)證書(shū)的序列號(hào)

     openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

    

  2、吊銷(xiāo)證書(shū)

  openssl ca -revoke /PATH/FROM/CRT-FILE

  3、生成吊銷(xiāo)編號(hào)

  echo 01 > /etc/pki/CA/crlnumber

好了。。就這了

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

本文名稱(chēng)：OpenSLL之建立私有CA-創(chuàng)新互聯(lián)
轉(zhuǎn)載注明：http://weahome.cn/article/djhpgj.html