第一步:搭建CA服務器
1、部署證書籤發環境:配置文件/etc/pki/tls/openssl.conf
2、創建私鑰文件:命令 文件名稱 存儲位置 私鑰
3、創建根證書文件:命令 文件名稱 存儲位置
4、共享根證書文件:使用那種服務共享 共享目錄 共享名
5、測試配置:客戶端下載按住嗯根證書文件
具體配置過程:
1、部署證書籤發環境:配置文件/etc/pki/tls/openssl.conf
# which openssl :查看是否有裝openssl包,默認裝
# rpm -qf /bin/openssl :查看要裝的包
# rpm -qc openssl-libs :查看軟件的配置文件
# vim /etc/pki/tls/openssl.cnf
40 [ CA_default ] :默認環境
42 dir = /etc/pki/CA :CA相關文件的默認目錄
43 certs = $dir/certs :爲用戶頒發證書的存放位置
建 45 database = $dir/index.txt :證書數據的索引文件,需手動建立
改 50 certificate = $dir/my-ca.crt :CA服務器根證書文件
建 51 serial = $dir/serial :序號記錄文件,需手動建立,從01開始
改 55 private_key = $dir/private/my-ca.key :CA服務器私鑰文件
83 [ policy_match ] :策略匹配
85 countryName = match :配置和CA一致
86 stateOrProvinceName = match
87 organizationName = match
128 [ req_distinguished_name ] //證書請求的識別信息
改 129 countryName_default = CN :國家
去#改134 stateOrProvinceName_default = beijing :省
改 137 localityName_default = beijing :市
改 140 0.organizationName_default = tarena :公司名
去#改148 organizationalUnitName_default = ope :部門
根據需要建立index.txt、serial文件
# touch /etc/pki/CA/index.txt
# chmod 600 /etc/pki/CA/index.txt
# touch /etc/pki/CA/serial
# echo 01 > /etc/pki/CA/serial
# chmod 600 /etc/pki/CA/serial
2、創建CA服務器私鑰文件:命令 文件名稱 存儲位置 私鑰
# cd /etc/pki/CA/private/
# openssl genrsa -des3 2048 > my-ca.key (設置保護私鑰的密碼123456)
# chmod 600 my-ca.key :爲啦安全,只有root有權限
# ls my-ca.key
3、創建根證書文件:命令 文件名稱 存儲位置
# cd /etc/pki/CA
# openssl req獲取 -new新的 -x509證書格式 -key私鑰 /etc/pki/CA/private/my-ca.key私鑰文件 -days 365有效時間 > my-ca.crt根證書文件
server's hostname:web
Email Address []:[email protected]
# chmod 600 my-ca.crt
4、共享根證書文件:使用那種服務共享 共享目錄 共享名
#yum -y install httpd
# systemctl restart httpd
# systemctl enable httpd
# mkdir /var/www/html/ca
# cp /etc/pki/CA/my-ca.crt /var/www/html/ca/
# chmod 755 /var/www/html/ca/my-ca.crt查看瀏覽器安裝的證書:首選項
http://192.168.4.100/ca/
瀏覽器--設置--高級--證書--導入
# ls /var/www/html/ca/my-ca.crt
# service httpd start; chkconfig httpd on
# systemctl stop firewalld
# setenforce 0
5、測試配置:客戶端下載根證書文件
查看瀏覽器安裝的證書:首選項
http://192.168.4.100/ca/
瀏覽器--設置--高級--證書--導入
①裝包
# yum -y install mod_ssl
②創建私鑰文件:作用 命令 文件名 存儲位置
# cd /etc/pki/tls/private/
# openssl genrsa 2048 > www.key
③創建證書請求文件:命令 文件名 存儲位置
# openssl req -new -key /etc/pki/tls/private/www.key > /root/www.csr
:證書請求文件以.csr結尾
CN guangdong shenzhen yiyi ope
your server's hostname) []:web :本機網站服務名
Email Address []:lili@163.com
④提交證書請求文件傳給CA服務:scp
# scp /root/www.csr 192.168.4.15:/root/
⑤配置本機的網站在運行時調用私鑰文件和數字證書文件mod_ssl、ssl.conf
# mv /root/www.crt /etc/pki/tls/certs/
# ls /etc/pki/tls/private/www.key
# yum -y install mod_ssl
# sed -n '100p;107p' /etc/httpd/conf.d/ssl.conf
100行 SSLCertificateFile /etc/pki/tls/certs/www.crt :改路徑
107行 SSLCertificateKeyFile /etc/pki/tls/private/www.key :改路徑
或
# vim /etc/httpd/conf.d/ssl.conf
100行 SSLCertificateFile /etc/pki/tls/certs/www.crt :改路徑
107行 SSLCertificateKeyFile /etc/pki/tls/private/www.key :改路徑
⑥重啓服務
# systemctl restart httpd
# netstat -untlap | grep httpd (443 80)
⑦CA服務器配置
A、審覈並簽發數字證書: 命令 數字證書名稱 數字證書文件存放的位置 知道私鑰密碼
# ls /root/www.csr
# cd /etc/pki/CA/certs/
# openssl ca -in /root/www.csr > www.crt (web)
# cat www.crt
B、下發數字證書給網絡服務端:scp
# scp www.crt 192.168.4.13:/root/ :把證書版發給13服務器
# cat /etc/pki/CA/indedx.txt :看頒發證書記錄
C、客戶配置:驗證使用https協議訪問網站服務器,從CA服務器上下載根證書文件並安裝
# sed -i '$a192.168.4.13 web' /etc/hosts
或
# vim /etc/hosts
192.168.4.13 web :端口重定向訪問
# ping -c 2 web