openssl加密机制( 四 ) _openssl生成证书

# touch index.txt
# echo 01 >
3、签署证书：
#ca -in /path/to/.csr -out /path/to/.crt（证书文件都以crt结尾） -days 365
是一个数字签名的过程
数字签名：发送方使用单向取得数据特征码，并使用自己的私钥加密此段特征码的操作；保证这是自己的东西，是独一无二的。
专用客户端测试工具：
#- HOST:PORT（哪个服务器哪个端口测试） -（CA文件所在） /path/to/|-（CA路径） /paht/to// -ssl2|-ssl3|-tls1 （协议版本）-state 显示状态
中有如下后缀名的文件
.key格式：私有的密钥
.crt格式：证书文件，的缩写

文章插图
.csr格式：证书签名请求（证书请求文件），含有公钥信息，的缩写
.crl格式：证书吊销列表， List的缩写
.pem格式：用于导出，导入证书时候的证书的格式，有证书开头，结尾的格式
常用证书协议
: IETF的证书标准
x.500:目录的标准
SCEP: 简单证书申请协议，用http来进行申请，数据有PKCS#7封装，数据其实格式也是PKCS#10的
PKCS#7: 是封装数据的标准，可以放置证书和一些请求信息
PKCS#10: 用于离线证书申请的证书申请的数据格式，注意数据包是使用PKCS#7封装这个数据
PKCS#12: 用于一个单一文件中交换公共和私有对象，就是公钥，私钥和证书，这些信息进行打包，加密放在存储目录中， CISCO放在NVRAM中，用户可以导出，以防证书服务器挂掉可以进行相应恢复。思科是.p12,微软是.pfx
自建CA ，颁发证书，并使用证书，过程详解
第一步：自建CA
# yum -y install openssl# cd /etc/pki/CA# vim /etc/pki/tls/openssl.cnf
打开文件，可以看到CA目录下都需要哪些文件和目录，注意，给CA创建的私钥文件名称必须是cakey.pem,而CA证书的名字也必须为.perm ，或者修改了配置文件中定义的目录和文件，否则，创建给别人签证的时候会报错。
# (umask 077;openssl genrsa -out private/cakey.pem 2048)Generating RSA private key, 2048 bit long modulus.......................+++.........+++e is 65537 (0x10001)
为CA生成私钥
Umask 077 定义了私钥文件的权限，不让其他用户访问。
# openssl req -new -x509 -key private/cakey.pem-out cacert.pem -days 365You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:cnState or Province Name (full name) []:henanLocality Name (eg, city) [Default City]:zhengzhouOrganization Name (eg, company) [Default Company Ltd]:mageduOrganizational Unit Name (eg, section) []:techCommon Name (eg, your name or your server's hostname) []:www.magedu.comEmail Address []:magedu@magedu.com
CA证书生成成功，以上缩写的内容，申请证书者申请的时候，填写前五项必须与之保持一致，第六项是申请者建立网站时候的网址名称，莫要填错。
# touch index.txt serial
创建出必要文件， index.txt是数据文件，是CA颁发证书的序列号。
# echo 01 > serial