日本免费高清视频-国产福利视频导航-黄色在线播放国产-天天操天天操天天操天天操|www.shdianci.com

學(xué)無先后,達(dá)者為師

網(wǎng)站首頁 編程語言 正文

Linux環(huán)境下生成openssl證書注意細(xì)節(jié)介紹_Linux

更新時(shí)間: 2021-11-02 編程語言

一、環(huán)境:CentOS7,Openssl1.1.1k。

二、概念:

根證書:是生成服務(wù)器證書和客戶端證書的基礎(chǔ),也可以叫自簽發(fā)證書,即CA證書

服務(wù)器證書:由根證書簽發(fā),配置在服務(wù)器。

客戶端證書:由根證書簽發(fā),配置在客戶端。也可以配置在web服務(wù)器,安裝在瀏覽器。

對稱加密:用一個(gè)密碼加密文件,然后解密也用同樣的密碼。

非對稱加密:加密用的一個(gè)密碼,而解密用另外一組密碼。包括以下兩種情況:

用于加密數(shù)據(jù)時(shí):公鑰加密,私鑰解密

用于文件簽名時(shí):私鑰簽名,公鑰驗(yàn)簽

三、步驟:

1、查看openssl的配置文件openssl.cnf

vim /etc/pki/tls/openssl.cnf

2、創(chuàng)建為根證書CA所需的目錄及文件

cd /etc/pki/CA

#創(chuàng)建配置文件信息中所需的目錄及文件

mkdir -pv {certs,crl,newcerts,private}

touch {serial,index.txt}

3、指明證書的開始編號

echo 01 >> serial

4、生成根證書

# 生成CA私鑰(ca.key)
openssl genrsa -des3 -out ca.key 2048 
# 生成CA證書簽名請求(ca.csr)
openssl req -new -key ca.key -out ca.csr
# 生成自簽名CA證書(ca.cert)
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

5、生成服務(wù)器證書

# 生成服務(wù)端私鑰(server.key)
openssl genrsa -des3 -out server.key 2048 
# 生成服務(wù)端證書簽名請求(server.csr)
openssl req -new -key server.key -out server.csr
# 使用ca證書簽署服務(wù)端csr以生成服務(wù)端證書(server.cert)
openssl ca -days 3650 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

6、生成客戶端證書

# 生成客戶端私鑰(client.key)
openssl genrsa -des3 -out client.key 2048
# 生成客戶端證書簽名請求(client.csr)
openssl req -new -key client.key -out client.csr
# 使用ca證書簽署客戶端csr以生成客戶端證書(client.cert)
openssl ca -days 3650 -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

7、查看證書內(nèi)容

openssl x509 -in server.crt -noout -text

8、將crt轉(zhuǎn)換為pem

openssl x509 -in ca.crt -out ca.pem -outform PEM

openssl x509 -in server.crt -out server.pem -outform PEM

openssl x509 -in client.crt -out client.pem -outform PEM

9、剝離私鑰key的密碼

openssl rsa -in server.key -out serverkey.pem

openssl rsa -in client.key -out clientkey.pem

生成后的證書列表:? ? ??

????????

原文鏈接:https://blog.csdn.net/sunkaijie123/article/details/121727545

欄目分類
最近更新