Centos8上搭建CA证书
要在centos8上实现自建CA证书要利用openssl,首先查看openssl配置文件
<代码类=" language-bash "> # vim/etc/pki/tls/openssl.cnf root@Centos8数据 (CA_default) dir=/etc/pki/CA #一切都保存的地方 确实的事情=dir/确实的事情#美元发行证书 crl_dir=dir/crl #美元发行crl=$ dir/索引数据库。txt #数据库索引文件。 # unique_subject=no #设置为“不”允许创建 #几个确实的事情同样的主题。 new_certs_dir=$ dir/newcerts #默认新证书。=$ dir/cacert证书。pem # CA证书 串行=$ dir/串行#当前序列号 crlnumber=$ dir/crlnumber #当前crl号码 #必须注释掉离开V1 CRL crl=$ dir/crl。pem #当前CRL private_key=$ dir/私人/凝固了的。pem #私钥 RANDFILE=dir/私人/美元。兰德#私人随机数文件 x509_extensions=usr_cert #扩展添加到证书代码>
这段配置代表了CA的目录结构,和每个目录是放置什么文件,有什么作用,做出了一些解释。
因为centos7上CA相关的目录是系统自带的,但是centos8上只有CA家目录,也就是<强>/etc/pki/CA >强劲,这个目录,所以参考centos7上的目录结构来新建CA相关目录
centos7上目录结构:
<代码类=" language-shell "> root@centos7 ~ # cd/etc/pki/CA/(root@centos7 CA) #树 . ├──确实的事情 ├──crl ├──newcerts └──私人 4目录,0文件代码>
在centos8上运行:
[root@Centos8数据]mkdir - p/etc/pki/CA/{确实的事情,crl, newcerts,私人}
引用>cd私人/
生成私钥:(umask 077;openssl genrsa治疗凝固了的。pem 4096)
引用>生成自签的CA证书:
openssl点播- x509私人/凝固了的关键。pem治疗cacert。pem天3650
引用><代码类=" language-shell "> (root@Centos8 CA) # openssl点播- x509私人/凝固了的关键。pem治疗cacert。pem天3650 你将被要求输入信息将被整合 到你的证书请求。 你即将进入的是所谓的专有名称或一个DN。 有相当多的领域但你可以留一些空白 对于一些领域将会有一个默认值, 如果你输入的。”字段留空。 ----- 国家名称(2字母代码)(XX): CN 州或省名称(全名)[]:北京 地区名称(如城市)(默认城市):北京 组织名称(如公司)[默认有限公司]:wj02 组织单元名称(例如,部分)[]:M39 常见的名字(例如你的名字或你的服务器的主机名)[]:www.wj02.com 电子邮件地址[]: (root@Centos8 CA) # 代码>要输入的内容依次为:
输入:(国家代码)CN
引用>
输入:(所在省份)北京
输入:(所在城市)北京
输入:(公司名称)wj02
输入:(部门名称)M39
输入:(用户名或主机名)www.wj02.com
输入:(邮箱地址)可留空,直接回车
根据提示,输入相应信息即可。查看自签证书详细内容命令:
<代码类=" language-shell "> # openssl x509——cacert root@Centos8 CA。pem -noout语境 证书: 数据: 版本:3 (0 x2) 序列号: 43:cf: 75:6e: 3: 94: cc: 98:38: c1:48: c7: d9:37:70: e3: fb: 71:19: e6 签名算法:sha256WithRSAEncryption 发行人:C=CN,圣=北京,L=北京,O=wj02, OU=M39, CN=www.wj02.com 有效性 没有之前:格林尼治时间2019年11月12日06:50:53 没有后:格林尼治时间2029年11月9日06:50:53 主题:C=CN,圣=北京,L=北京,O=wj02, OU=M39, CN=www.wj02.com 主题公钥信息: 公钥算法:rsaEncryption RSA公钥(4096位): 模量:代码>可以看到证书的详细信息
然后在另一台机器,因为要重新生成私钥,所以要至少两台机器。
生成私钥:(umask 077;openssl genrsa治疗app.key 1024)
引用>生成ca证书请求文件:
openssl点播以及其他关键app.key治疗app.csr
引用>值得注意的是,有三项,就是<强>国家,所在省,公司名称强>这三项一定要和自签证书一致
因为在配置文件里有规定:<代码类=" language-bash ">=policy_match政策 # CA政策 (policy_match) countryName=匹配 stateOrProvinceName=匹配 organizationName=匹配 organizationalUnitName=可选 commonName=提供 emailAddress=可选代码>Centos8上搭建CA证书