比赛题目要求 配置 Linux-1 为 CA 服务器,为所有 Linux 主机颁发证书,不允许修改/etc/pki/tls/openssl.conf。CA 证书有效期 20 年,CA 颁发证书有效期均为 10年,证书的通用名称均用主机的完全合格域名,证书信息:国家=“CN”,省=“Beijing” ,市/县=“Beijing” ,组织=“skills” ,组织单位=“system” 。 CA的理论知识 证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。 openssl中有如下后缀名的文件: .key格式:密钥 .crt格式:证书文件,certificate的缩写 .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写 .crl格式:证书吊销列表,Certificate Revocation List的缩写 .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 手动创建必须的目录和文件 mkdir -p /etc/pki/CA cd /etc/pki/CA mkdir certs,crl,newcerts,private touch index.txt #证书的索引数据库文件 echo 01 >serial #存放每个证书的编号文件 生成CA的私钥 (umask 077;openssl genrsa -out private/cakey.pem 2048) 生成自签名的CA证书,实际上是CA的公钥 [root@cs1 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300 …… ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:Beijing Locality Name (eg, city) [Default City]:Beijing Organization Name (eg, company) [Default Company Ltd]:skills Organizational Unit Name (eg, section) []:system Common Name (eg, your name or your server's hostname) []:cs1.skills.com Email Address []: 查看CA的自签证书详细内容命令 [root@cs1 CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text Certificate: Data: Version: 3 (0x2) Serial Number: 5c:ac:f4:c7:4d:fd:ce:78:88:f2:05:bf:c9:22:fb:0b:a3:cc:71:7a Signature Algorithm: sha256WithRSAEncryption Issuer: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com Validity Not Before: Dec 18 19:26:23 2021 GMT Not After : Dec 13 19:26:23 2041 GMT Subject: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) 验证命令:到这里,CA就已经配置好了 [root@cs1 CA]# date 2021年 12月 19日 星期日 03:40:12 CST [root@cs1 CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -subject -issuer -enddate subject=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com issuer=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com notAfter=Dec 13 19:26:23 2041 GMT