Centos8上搭建CA证书

  

Centos8上搭建CA证书

  

要在centos8上实现自建CA证书要利用openssl,首先查看openssl配置文件

  
 <代码类=" language-bash "> # vim/etc/pki/tls/openssl.cnf root@Centos8数据
  (CA_default)
  
  dir=/etc/pki/CA #一切都保存的地方
  确实的事情=dir/确实的事情#美元发行证书
  crl_dir=dir/crl #美元发行crl=$ dir/索引数据库。txt #数据库索引文件。
  # unique_subject=no #设置为“不”允许创建
  #几个确实的事情同样的主题。
  new_certs_dir=$ dir/newcerts #默认新证书。=$ dir/cacert证书。pem # CA证书
  串行=$ dir/串行#当前序列号
  crlnumber=$ dir/crlnumber #当前crl号码
  #必须注释掉离开V1 CRL
  crl=$ dir/crl。pem #当前CRL
  private_key=$ dir/私人/凝固了的。pem #私钥
  RANDFILE=dir/私人/美元。兰德#私人随机数文件
  
  x509_extensions=usr_cert #扩展添加到证书
  

这段配置代表了CA的目录结构,和每个目录是放置什么文件,有什么作用,做出了一些解释。
因为centos7上CA相关的目录是系统自带的,但是centos8上只有CA家目录,也就是<强>/etc/pki/CA 强劲,这个目录,所以参考centos7上的目录结构来新建CA相关目录
centos7上目录结构:

  
 <代码类=" language-shell "> root@centos7 ~ # cd/etc/pki/CA/(root@centos7 CA) #树
  .
  ├──确实的事情
  ├──crl
  ├──newcerts
  └──私人
  
  4目录,0文件
  

在centos8上运行:

  
  

[root@Centos8数据]mkdir - p/etc/pki/CA/{确实的事情,crl, newcerts,私人}

     

cd私人/
生成私钥:

  
  

(umask 077;openssl genrsa治疗凝固了的。pem 4096)

     

生成自签的CA证书:

  
  

openssl点播- x509私人/凝固了的关键。pem治疗cacert。pem天3650

     
 <代码类=" language-shell "> (root@Centos8 CA) # openssl点播- x509私人/凝固了的关键。pem治疗cacert。pem天3650
  你将被要求输入信息将被整合
  到你的证书请求。
  你即将进入的是所谓的专有名称或一个DN。
  有相当多的领域但你可以留一些空白
  对于一些领域将会有一个默认值,
  如果你输入的。”字段留空。
  -----
  国家名称(2字母代码)(XX): CN
  州或省名称(全名)[]:北京
  地区名称(如城市)(默认城市):北京
  组织名称(如公司)[默认有限公司]:wj02
  组织单元名称(例如,部分)[]:M39
  常见的名字(例如你的名字或你的服务器的主机名)[]:www.wj02.com
  电子邮件地址[]:
  (root@Centos8 CA) #
  

要输入的内容依次为:

  
  

输入:(国家代码)CN
输入:(所在省份)北京
输入:(所在城市)北京
输入:(公司名称)wj02
输入:(部门名称)M39
输入:(用户名或主机名)www.wj02.com
输入:(邮箱地址)可留空,直接回车
根据提示,输入相应信息即可。

     

查看自签证书详细内容命令:

  
 <代码类=" language-shell "> # openssl x509——cacert root@Centos8 CA。pem -noout语境
  证书:
  数据:
  版本:3 (0 x2)
  序列号:
  43:cf: 75:6e: 3: 94: cc: 98:38: c1:48: c7: d9:37:70: e3: fb: 71:19: e6
  签名算法:sha256WithRSAEncryption
  发行人:C=CN,圣=北京,L=北京,O=wj02, OU=M39, CN=www.wj02.com
  有效性
  没有之前:格林尼治时间2019年11月12日06:50:53
  没有后:格林尼治时间2029年11月9日06:50:53
  主题:C=CN,圣=北京,L=北京,O=wj02, OU=M39, CN=www.wj02.com
  主题公钥信息:
  公钥算法:rsaEncryption
  RSA公钥(4096位):
  模量:
  

可以看到证书的详细信息
然后在另一台机器,因为要重新生成私钥,所以要至少两台机器。
生成私钥:

  
  

(umask 077;openssl genrsa治疗app.key 1024)

     

生成ca证书请求文件:

  
  

openssl点播以及其他关键app.key治疗app.csr

     

值得注意的是,有三项,就是<强>国家,所在省,公司名称这三项一定要和自签证书一致
因为在配置文件里有规定:

  
 <代码类=" language-bash ">=policy_match政策
  
  # CA政策
  (policy_match)
  countryName=匹配
  stateOrProvinceName=匹配
  organizationName=匹配
  organizationalUnitName=可选
  commonName=提供
  emailAddress=可选 
Centos8上搭建CA证书