吊销证书
1.客户端获取要吊销的证书的serial
openssl x509 -in /path/from/cert_file -noout -serial -subject
-
CA端先客户端提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致
吊销证书:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
- 生成吊销证书的编号(第一次吊销一个证书时)
echo 01 > /etc/pki/CA/crlnumber
4.更新证书吊销列表
openssl ca -gencrl -out thisca.crl
openssl
对称加密的实现工具有openssl和gpg两种
openssl:OpenSSL是ssl的开源实现,是一个软件,由三部分组成:
libcrypto:加密库
libssl:TLS/SSL协议的实现。基于会话的实现了身份认证、数据机密性和会话完整性的TLS/SSL库
openssl:多用途命令行工具。能够实现单向加密、对称加密、非对称加密、生成一对密钥、私有证书颁发机构等功能openssl:
语法:openssl command [ command_opts ] [ command_args ]
command:
enc:加密/解密
-e:加密
-d:解密
dgst:提取文件特征码
passwd -1:生成密码串
rand -base64:生成伪随机数
req:证书注册提交管理
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /path/to/somecertfile:证书的保存路径
x509:管理证书
-in /path/from/cert_file -noout -text|-subject|-serial #查看证书中的信息
crl:管理吊销证书列表
-in /path/from/crl_file.crl -noout -text #查看crl文件
ca:管理CA openssl实现私有CA:
CA的配置文件:/etc/pki/tls/openssl.cnf
1.CA生成一对密钥
cd /etc/pki/CA
(umask 077;openssl genrsa -out private/cakey.pem 2048) #生成密钥,括号必须要
openssl rsa -in private/cakey.pem -pubout #提取公钥
- CA生成自签署证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 #生成自签署证书
openssl x509 -text -in cacert.pem #读出cacert.pem证书的内容
mkdir certs newcerts crl
touch index.txt && echo 01 > serial
3.客户端(例如httpd服务器)生成密钥
cd /etc/httpd && mkdir ssl && cd ssl
(umask 077;openssl genrsa -out httpd.key 2048)
- 客户端生成证书签署请求
openssl req -new -key httpd.key -days 365 -out httpd.csr
5.客户端把证书签署请求文件发送给CA
scp httpd.csr root@CA端IP:/root
6.CA签署客户端提交上来的证书
openssl ca -in /root/httpd.csr -out httpd.crt -days 365
7.CA把签署好的证书httpd.crt发给客户端
scp httpd.crt root@客户端IP:/etc/httpd/ssl/