openssl建立ca中心的实验配置.docxVIP

openss建立CA中心的实验配置 wujunfeng@163.com整理汇总标红的文字(如有错误，可发邮件告之我 ) .key格式: 私有的密钥 .crt格式： 证书文件，certificate的缩写 .csr格式: 证书签名请求(证书请求文件) ，含有公钥信息， certificate signing request缩与 .crl格式： 证书吊销列表， Certificate Revocation List的缩与 ?pem格式：用于导出，导入证书时候的证书的格式，有证书开头，结尾的格式 常用证书协议 x509v3: IET F的证书标准 x.500:目录的标准 SCEP:简单证书申请协议，用 http来进行申请，数据有 PKCS#7封装，数据其实格式也是 PKCS#10 的 PKCS#7:是封装数据的标准，可以放置证书和一些请求信息 PKCS#10:用于离线证书申请的证书申请的数据格式，注意数据包是使用 PKCS#7封装这个 数据 PKCS#12:用于一个单一文件中交换公共和私有对象，就是公钥，私钥和证书，这些信息进 行打包，加密放在存储目录中， CISCO放在 NVRAM中，用户可以导出，以防证书服务器挂 掉可以进行相应恢复。思科是 .p12，微软是.pfx 证书的概念：首先要有一个根证书，然后用根证书来签发服务器证书和客户证书。 对于申请证书的用户：在生成证书之前， 一般会有一个私钥， 然后用私钥生成证书请求，再 利用证书服务器的根证来签发证书。 本例中 CA中心：生成私钥 my-ca.key ―〉通过CA私钥来生成自签名证书 my-ca.crt 邮件服务器：即需要申请证书的用户，在自己的计算机中生成一个证书 签名请求 (certificate signing request (CSR))文件，CSR包括自己的公钥，将其上载到 CA中心，由 CA中心用自己的私钥把 CSR文件签名生成证书。 生成私钥station20.key ―〉生成证书签名请求 dovecot.csr(含有邮件服务器的公钥信息 )—〉 上传到CA中心，用CA证书和CA私钥为csr文件签名，生成 dovecot.crt证书。关键命令为 openssl ca -in dovecot.csr -out dovecot.crt -cert my-ca.crt -keyfile my-ca.key ―〉再把 CA 中心上 的dovecot.crt证书下载回邮件服务器 邮件客户端：不需要申请证书，只需要信任证书。 把CA中心的my-ca.crt导入到信任列表中 实验用了三台机: CA 中心： (54) mail server: (0) mail client: (9) 实验基于 Red Hat Enterprise Linux server 5 update 4 版 一 .CA 中心 (:54) 的设置 [root@server1 tls]# pwd /etc/pki/tls [root@server1 tls]# ls cert.pem certs misc f private [root@server1 tls]# rpm -qa |grep openssl openssl-0.9.8e-12.el5 ##linux下的ssl是由openssl提供的。 dir = /etc/pki/CA certs = $dir/certs crl_dir = $dir/crl database = $dir/index.txt new_certs_dir = $dir/newcerts certificate = $dir/my-ca.crt serial = $dir/serial crlnumber = $dir/crlnumber crl = $dir/my-ca.crl 开始配置 f [root@server1 tls]#vim f [ CA_default ] #CA存放的路径 #存放签名后的证书 证书过期列表，存放过期证书 证书颁发、吊销的信息 证书副本 （ 吊销凭证 ） #CA证书（任何人都可以拥有的） # 序列号 （每作一次签名 ,序列号就增加 1） #吊销序列号 #吊销证书名单列表 private_key RANDFILE = $dir/private/my-ca.key# The private key = $dir/private/.rand # private random number file x509_extensions = usr_cert default_days = 365 default_crl_days= 30 default_md = sha1 preserve = no [ policy_match ] countryNa