-
OpenSSL简介
- OpenSSL是一个安全套接字层密码库,其包括常用的密码算法、常用的密钥生成和证书封装管理功能及SSL协议,并提供了丰富的应用程序以供测试
- OpenSSL是一个开源的项目,其由三个部分组成:openssl命令行工具、libencrypt加密算法库、libssl加密模块应用库
- OpenSSL命令工具有两种运行模式:交换模式(输入openssl回车进入交互模式)、批处理模式(输入带命令选项的openssl命令进行批处理模式)
-
创建CA自签证书
# 查看openssl默认配置文件
cat /etc/pki/tls/openss.conf
# 根据配置整理相关目录文件、指定证书开始编号01
# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
# touch /etc/pki/CA/{serial,index.txt}
# echo 01 > /etc/pki/CA/serial
# 生成私钥
# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# 创建自签证书(根据提示填写相关信息)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
# -new:表示生成一个新的证书签署请求
# -x509:专用于生成CA自签证书
# -key:指定生成证书用到的私钥文件
# -out FILNAME:指定生成的证书的保存路径
# -days:指定证书的有效期限,单位为day,默认是365天
- 颁发证书
# 在需要使用证书的主机上生成私钥
# (umask 077;openssl genrsa -out server.key 4096)
# 生成证书签署请求(根据提示填写相关信息)
# openssl req -new -key server.key -out server.csr -days 3650
# 通过可靠的方式将证书签署请求发送给CA主机
# 在CA服务器上签署证书后颁发证书
# 自签证书则是在本机完成
# openssl ca -in server.csr -out /etc/pki/CA/certs/server.crt -days 3650
# 查看证书信息
# openssl x509 -in /etc/pki/CA/certs/server.crt -noout -serial -dates -subject
# -noout:不输出加密的证书内容
# -serial:输出证书序列号
# -dates:显示证书有效期的开始和终止时间
# -subject:输出证书的subject