标签：证书 私有 CA openssl app1 etc pki

centos8版本

1.根据/etc/pki/tls/openssl.conf创建CA相关目录和文件

mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} touch /etc/pki/CA/index.txt   生成证书索引数据库文件 echo 0F > /etc/pki/CA/serial    指定第一个办法证书的序列号 2.创建CA私钥 cd /etc/pki/CA (umask 066; openssl genrsa -out private/cakey.pem 2048) 3.CA自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem 输出证书内容    openssl x509 -in /etc/pki/CA/cacert.pem -noout -text    4.用户生成私钥和证书申请 mkdir /data/app1 (umask 066; openssl genrsa -out   /data/app1/app1.key 2048)    生成私钥 openssl req -new -key /data/app1/app1.key -out  /data/app1/app1.csr   生成证书申请文件

 

 根据配置文件，countryName,stateOrProvinceName,organizationName必须和CA自签证书一样

openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000 生成证书   openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -serial 可以找到证书的编号 验证指定编号对应证书的有效性 openssl ca -status 0F    亦可以直接看index.txt 5.将ca证书和用户证书导出在windows安装即可。ca证书重命名为crt后缀文件 6.吊销证书 openssl ca -revoke /etc/pki/CA/newcerts/0F.pem 7.生成证书吊销列表文件 echo 01 > /etc/pki/CA/crlnumber    openssl ca -gencrl -out /etc/pki/CA/crl.pem 将此crl.pem传到window修改后缀为crl.pem.crl，双击即可查看      

 

 cacert.pem  CA的自签证书

certs 用户的证书

newcerts  用户的私钥

private  CA的私钥

index.txt  用户证书当前的有效性

index.txt  用户证书的有效性，是证书未做修改前的状态，比如说证书被吊销前是有效的

crlnumber 吊销用户证书后自动增长编号

标签：证书,私有,CA,openssl,app1,etc,pki
来源： https://www.cnblogs.com/ty111/p/15178093.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。