Linux下使用openssl制作CA及证书颁发.pdfVIP

Linux 下使用 openssl 制作 CA 及证书颁发 一. 创建 CA ................................................................................ 2 1. 创建 CA 需要用到的目录和文件： ............................... 2 2. 生成 CA 的私钥和自签名证书（即根证书） ............... 2 3. 创建一个配置文件，以便后续 CA 日常操作中使用： .. 3 二. CA 的日常操作 ..................................................................... 4 1、创建私钥 .......................................................................... 4 2、查看创建的密钥 .............................................................. 4 3、创建请求文件 .................................................................. 4 4、查看创建的请求文件 ...................................................... 4 5. 根据证书申请请求签发证书 ........................................... 5 6、执行签发命令： .............................................................. 5 7. 吊销证书（作废证书） ................................................... 5 8. 生成证书吊销列表文件（CRL） ................................... 5 9、制作 PFX（p12）格式的证书 ........................................ 6 三. 自己生成公钥密钥，并用测试 CA 签发数字证书 .......... 6 1. 创建密钥和证书请求（证书请求里包含了公钥） ....... 6 2. 用测试 CA 为 testuser 签发证书 ..................................... 6 3. 制作一个 PKCS12 格式的文档（个人数字证书） ....... 7 四、openssl 的其他所有参数 .................................................... 7 Linux 下使用 openssl 制作 CA 及证书颁发 本文旨在利用开源 openssl 软件，在 Linux（或 UNIX/Cygwin）下创建一个简单的 CA。 我们可以利用这个 CA 进行 PKI、数字证书相关的测试。比如，在测试用 Tomcat 或 Apache 构建 HTTPS 双向认证时，我们可以利用自己建立的测试 CA 来为服务器端颁发服务器数字 证书，为客户端（浏览器）生成文件形式的数字证书（可以同时利用 openssl 生成客户端私 钥）。 该简单的 CA 将建立在用户自己的目录下（$HOME/testca），无需超级用户（root）权限。 一. 创建 CA 1. 创建 CA 需要用到的目录和文件： 执行命令如下： mkdir $HOME/testca cd $HOME/testca mkdir newcerts private conf chmod g-rwx,o-rwx private echo 01 serial touch index.txt 说明： $HOME/testca 为待建 CA 的主目录。其中 newcerts 子目录将存放 CA 签署（颁发）过的数 字证书（证书备份目录）。而 private 目录用于存放 CA 的私钥。目录 conf 只是用于存放一些 简化参数用的配置文件。 文件 serial 和 index.txt 分别用于存放下一个证书的序列号和证书信息数据库。 当然，偷懒起见，可以只用按照本文操作即可，不一定需要关心各个目录和文件的作用。 2. 生成 CA 的私钥和自签名证书（即根证书） 创建文件： vi $HOME/testca/conf/gentestc