1.4CAt證書的申請與吊銷

openssl命令生成密鑰對兒

man genrsa 幫助
使用 genrsa 子命令生成私鑰

命令中選項：

-out 指定輸出私鑰的文件名
-des 指定使用 des 對稱加密私鑰文件，選填，也可以使用其他加密算法
1024 指定密鑰長度

(umask 077; openssl genrsa –out test.key –des 2048) 在子shell中推導成公鑰。

使用 rsa 子命令生成公鑰

生成私鑰

openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
openssl rsa –in test.key –pubout –out test.key.pub

openssl rsa -in test.key –out test2.key 將加密key解密

從私鑰中提取出公鑰

openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
openssl rsa –in test.key –pubout –out test.key.pub

OpenSSL

PKI

一個典型、完整、有效的PKI應用系統至少應具有以下部分：

RA：註冊中心負責審覈證書申請者的真實身份

CRL：黑名單的發佈和管理

CA：即數字證書的申請及簽發機關，CA必須具備權威性的特徵

數字證書庫：用於存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰證書申請及簽署步驟：

1、生成申請請求
2、RA覈驗
3、CA簽署
4、獲取證書

創建CA服務端

創建私有CA：
openssl的配置文件：/etc/pki/tls/openssl.cnf
三種策略：匹配、支持和可選
匹配指要求申請填寫的信息跟CA設置信息必須一致，支持指必須填寫這項申
請信息，可選指可有可無

第一步；創建必要文件（在centos7上）

touch /etc/pki/CA/index.txt #創建index.txt

echo 01> /etc/pki/CA/serial #創建新證書編號爲01，往下依次類推，爲十六進制

第二步；生成私鑰文件

cd /etc/pki/CA #切換目錄

(umask 066;openssl genrsa –out /etc/pki/CA/private/cakey.pem1024) #生成1024位的私鑰

（）的使用爲了使umask值只在當前代碼行有效，而不改變系統umask值， CA私鑰名必須爲cakey.pem

也可以通過命令cat / etc/pki/CA/private/cakey.pem來查看是否生成了私鑰。

第三步；生成自籤文件，也就是讓CA給自己頒發證書，注意都是在/etc/pki/CA目錄下的工作

openssl req -new -x509 -key
/etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

-new: 生成新證書籤署請求

-x509: 專用於CA 生成自簽證書

-key: 生成請求時用到的私鑰文件

-days n ：證書的有效期限

以文本形式查看自簽證書進行校驗：

openssl x509 -in cacert.pem -noout -text

把cacert.pem文件導出放置到Windows界面中查看，注意要更改爲.crt的後綴才能查看，到此CA服務端搭建完畢。

搭建CA客戶端，申請證書（在centios6上）

在需要使用證書的主機生成證書請求給web 服務器生成私鑰

第一步；創建私鑰文件

cd /etc/pki/tls/private/

(umask 066;openssl genrsa -out /etc/pki/tls/private/test.key)

第二步；生成申請文件（注意：默認國家、省、公司三項必須跟CA一致）

openssl req -new -key /etc/pki/tls/private//test.key -out /etc/pki/tls/private/test.csr -days 365

把生成好的申請文件傳至服務端CA。

第三步；回到服務端（centos7上），頒發證書

openssl ca -in /etc/pki/CA/test.csr -out /etc/pki/CA/certs/test.crt -days 365

把證書傳回至客戶端（centos6）

scp /etc/pki/CA/certs/test.crt 172.18.24.2:/etc/pki/CA/

可以把test.crt導出，查看證書效果

吊銷證書，在服務端進行（centos7）

指定第一個吊銷證書的編號

注意：第一次更新證書吊銷列表前，才需要執行echo 01 > /etc/pki/CA/crlnumber

第一步；創建必要文件，生成吊銷證書的編號

echo 01 /etc/pki/CA/crlnumber

第二步，在客戶端（centos6上）查找要吊銷的證書以確保吊銷正確

openssl x509 -in /etc/pki/CA/test.crt-noout -serial -subject

第三步；在服務端（centos7上）吊銷證書

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL .pem

第四步；更新證書吊銷列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem #注意crl.pem在Windows裏面需要更改爲crl的後綴才能查看

查看crl文件

openssl crl -in /etc/pki/CA/crl/crl.pem -noout-text #以文本形式查看吊銷證書文件