基于 OpenSSL 的 CA 建立及证书签发.docxVIP

基于 OpenSSL 的 CA 建立及证书签发建立 CA建立 CA 目录结构按照 OpenSSL 的默认配置建立 CA ，需要在文件系统中建立相应的目录结构。相关的配置内容一般位于?/usr/ssl/f?内，详情可参见 config (1) 。在终端中使用如下命令建立目录结构：$ mkdir -p ./demoCA/{private,newcerts}$ touch ./demoCA/index.txt$ echo 01 ./demoCA/serial产生的目录结构如下：.`-- demoCA/ |-- index.txt |-- newcerts/ |-- private/ `-- serial生成 CA 证书的 RSA 密钥对首先，我们要为 CA 建立 RSA 密钥对。打开终端，使用如下命令生成 RSA 密钥对：$ openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048参数解释genrsa用于生成 RSA 密钥对的 OpenSSL 命令。-des3使用 3-DES 对称加密算法加密密钥对，该参数需要用户在密钥生成过程中输入一个口令用于加密。今后使用该密钥对时，需要输入相应的口令。如果不加该选项，则不对密钥进行加密。-out ./demoCA/private/cakey.pem令生成的密钥对保存到文件?./demoCA/private/cakey.pem?。2048RSA 模数位数，在一定程度上表征了密钥强度。该命令输出如下，用户应输入自己的密钥口令并确认：Generating RSA private key, 2048 bit long modulus................................................+++.........................+++e is 65537 (0x10001)Enter pass phrase for ./demoCA/private/cakey.pem:enter your pass-phraseVerifying - Enter pass phrase for ./demoCA/private/cakey.pem:re-enter your pass-phrase生成 CA 证书请求为了获取一个 CA 根证书，我们需要先制作一份证书请求。先前生成的 CA 密钥对被用于对证书请求签名。$ openssl req -new -days 365 -key ./demoCA/private/cakey.pem -out careq.pem参数解释req用于生成证书请求的 OpenSSL 命令。-new生成一个新的证书请求。该参数将令 OpenSSL 在证书请求生成过程中要求用户填写一些相应的字段。-days 365从生成之时算起，证书时效为 365 天。-key ./demoCA/private/cakey.pem指定?./demoCA/private/cakey.pem?为证书所使用的密钥对文件。-out careq.pem令生成的证书请求保存到文件?careq.pem?。该命令将提示用户输入密钥口令并填写证书相关信息字段，输出如下：Enter pass phrase for ./demoCA/private/cakey.pem:enter you pass-phraseYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter ., the field will be left blank.-----Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:ZJLocality Name (eg, city) []:HZOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Some Ltd. Corp.Organizational Unit Name (eg, section) []:So