openssl加密机制( 四 )


# touch index.txt
# echo 01 >
3、签署证书:
#ca -in /path/to/.csr -out /path/to/.crt(证书文件都以crt结尾) -days 365
是一个数字签名的过程
数字签名:发送方使用单向取得数据特征码 , 并使用自己的私钥加密此段特征码的操作;保证这是自己的东西 , 是独一无二的 。
专用客户端测试工具:
#- HOST:PORT(哪个服务器哪个端口测试) -(CA文件所在) /path/to/|-(CA路径) /paht/to// -ssl2|-ssl3|-tls1 (协议版本)-state 显示状态
中有如下后缀名的文件
.key格式:私有的密钥
.crt格式:证书文件 , 的缩写

openssl加密机制

文章插图
.csr格式:证书签名请求(证书请求文件) , 含有公钥信息 , 的缩写
.crl格式:证书吊销列表 , List的缩写
.pem格式:用于导出 , 导入证书时候的证书的格式 , 有证书开头 , 结尾的格式
常用证书协议
: IETF的证书标准
x.500:目录的标准
SCEP: 简单证书申请协议 , 用http来进行申请 , 数据有PKCS#7封装 , 数据其实格式也是PKCS#10的
PKCS#7: 是封装数据的标准 , 可以放置证书和一些请求信息
PKCS#10: 用于离线证书申请的证书申请的数据格式 , 注意数据包是使用PKCS#7封装这个数据
PKCS#12: 用于一个单一文件中交换公共和私有对象 , 就是公钥 , 私钥和证书 , 这些信息进行打包 , 加密放在存储目录中 , CISCO放在NVRAM中 , 用户可以导出 , 以防证书服务器挂掉可以进行相应恢复 。思科是.p12,微软是.pfx
自建CA , 颁发证书 , 并使用证书 , 过程详解
第一步:自建CA
# yum -y install openssl# cd /etc/pki/CA# vim /etc/pki/tls/openssl.cnf
打开文件 , 可以看到CA目录下都需要哪些文件和目录 , 注意 , 给CA创建的私钥文件名称必须是cakey.pem,而CA证书的名字也必须为.perm , 或者修改了配置文件中定义的目录和文件 , 否则 , 创建给别人签证的时候会报错 。
# (umask 077;openssl genrsa -out private/cakey.pem 2048)Generating RSA private key, 2048 bit long modulus.......................+++.........+++e is 65537 (0x10001)
为CA生成私钥
Umask 077 定义了私钥文件的权限 , 不让其他用户访问 。
# openssl req -new -x509 -key private/cakey.pem-out cacert.pem -days 365You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:cnState or Province Name (full name) []:henanLocality Name (eg, city) [Default City]:zhengzhouOrganization Name (eg, company) [Default Company Ltd]:mageduOrganizational Unit Name (eg, section) []:techCommon Name (eg, your name or your server's hostname) []:www.magedu.comEmail Address []:magedu@magedu.com
CA证书生成成功 , 以上缩写的内容 , 申请证书者申请的时候 , 填写前五项必须与之保持一致 , 第六项是申请者建立网站时候的网址名称 , 莫要填错 。
# touch index.txt serial
创建出必要文件 , index.txt是数据文件 , 是CA颁发证书的序列号 。
# echo 01 > serial