openssl建立CA中心.docx
- 文档编号:3232463
- 上传时间:2022-11-20
- 格式:DOCX
- 页数:12
- 大小:424.99KB
openssl建立CA中心.docx
《openssl建立CA中心.docx》由会员分享,可在线阅读,更多相关《openssl建立CA中心.docx(12页珍藏版)》请在冰豆网上搜索。
openssl建立CA中心
openssl建立CA中心
实验用了三台机:
CA中心:
(192.168.10.254)
mailserver:
(192.168.10.20)
mailclient:
(192.168.10.19)
实验基于RedHatEnterpriseLinuxserver5update4版
一.CA中心(:
192.168.10.254)的设置
[root@server1tls]#pwd
/etc/pki/tls
[root@server1tls]#ls
cert.pemcertsmiscfprivate
[root@server1tls]#rpm-qa|grepopenssl
openssl-0.9.8e-12.el5
##linux下的ssl是由openssl提供的。
---------------开始配置f
[root@server1tls]#vimf
[CA_default]
dir=/etc/pki/CA#CA存放的路径
certs=$dir/certs#存放签名的公钥
crl_dir=$dir/crl#证书过期列表,存放过期证书
database=$dir/index.txt#证书颁发、吊销的信息
new_certs_dir=$dir/newcerts#证书副本(吊销凭证)
certificate=$dir/my-ca.crt#CA公钥(任何人都可以拥有的)
serial=$dir/serial#序列号(每作一次签名,序列号就增加1)
crlnumber=$dir/crlnumber#吊销序列号
crl=$dir/my-ca.crl#吊销证书名单列表
private_key=$dir/private/my-ca.key#Theprivatekey
RANDFILE=$dir/private/.rand#privaterandomnumberfile
x509_extensions=usr_cert#Theextentionstoaddtothecert
default_days=365#证书有效期
default_crl_days=30#crl更新时间
default_md=sha1#whichmdtouse.
preserve=no#keeppassedDNordering
[policy_match]
countryName=match#国家代码必须完全匹配
stateOrProvinceName=match#
organizationName=match
organizationalUnitName=optional#optional可以不一样
commonName=supplied#代表唯一身份,必须不匹配
emailAddress=optional
[req_distinguished_name]
countryName=CountryName(2lettercode)
countryName_default=CN#国家代码
countryName_min=2
countryName_max=2
stateOrProvinceName=StateorProvinceName(fullname)
stateOrProvinceName_default=Hubei#洲或省
localityName=LocalityName(eg,city)
localityName_default=Wuhan#城市
0.organizationName=OrganizationName(eg,company)
0.organizationName_default=Example,Inc.#组织
##f配置完成
[root@server1tls]#cd../CA/
[root@server1CA]#ls
private
[root@server1CA]#mkdir{certs,newcerts,crl}#创建刚才定义的那几个目录
[root@server1CA]#ls
certscrlnewcertsprivate
[root@server1CA]#echo00>serial;touchindex.txt#分配一个开始序列号并创建index.txt
[root@server1CA]#echo00>crlnumber#同上
-------------开始生成CA中心自己的私钥
[root@server1CA]#(umask077;opensslgenrsa–outprivate/my-ca.key–des32048)
GeneratingRSAprivatekey,2048bitlongmodulus
..................+++
.........................................................................................................................................+++
eis65537(0x10001)
Enterpassphraseforprivate/my-ca.key:
redhat#输入私钥密码
Verifying-Enterpassphraseforprivate/my-ca.key:
redhat#确认输入
--------------通过私钥来生成公钥:
[root@server1CA]#opensslreq-new-x509-keyprivate/my-ca.key-days365>my-ca.crt
Enterpassphraseforprivate/my-ca.key:
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
-----
CountryName(2lettercode)[CN]:
StateorProvinceName(fullname)[Hubei]:
LocalityName(eg,city)[Wuhan]:
OrganizationName(eg,company)[Example,Inc.]:
OrganizationalUnitName(eg,section)[]:
CommonName(eg,yournameoryourserver'shostname)[]:
EmailAddress[]:
##CA中心已经搭完了,,
下面开始用服务来验证
用一台机搭建mail服务器(:
192.168.10.20)
[root@station20~]#yuminstall–ydovecotpostfixsystem-switch-mail
[root@station20~]#vim/etc/postfix/main.cf
inet_interfaces=all
[root@station20~]#vim/etc/dovecot.conf
protocols=imapspop3s
[root@station20~]#servicepostfixrestart
[root@station20~]#servicedovecotrestart
--------------生成私钥
[root@station20~]#opensslgenrsa1024>station20.key
GeneratingRSAprivatekey,1024bitlongmodulus
.........................++++++
..............++++++
eis65537(0x10001)
[root@station20~]#ls
anaconda-ks.cfgDesktopinstall.loginstall.log.syslogstation20.key
---------------通过私钥生成一个证书请求文件.
[root@station20~]#opensslreq-new-keystation20.key-outdovecot.csr
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
-----
CountryName(2lettercode)[GB]:
CN
StateorProvinceName(fullname)[Berkshire]:
Hubei
LocalityName(eg,city)[Newbury]:
Wuhan
OrganizationName(eg,company)[MyCompanyLtd]:
Example,Inc.
OrganizationalUnitName(eg,section)[]:
###以上填写均要跟CA中心的一致
CommonName(eg,yournameoryourserver'shostname)[]:
EmailAddress[]:
Pleaseenterthefollowing'extra'attributes
t
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- openssl 建立 CA 中心