帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
发布时间:2024-03-10 19:51:49   分类:帮助文档
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书

本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演示
目录
一.生成认证主要流程
1.虚拟出一个CA认证机构,为其生成公私钥以及自签证书
2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书
3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书
4.生成证书
二.具体生成过程
1.虚拟CA机构方生成内容
2.服务器方生成内容
3.客户端方生成内容


一.生成认证主要流程
1.虚拟出一个CA认证机构,为其生成公私钥以及自签证书
2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书
3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书
4.生成证书
注意:建议新建一个或多个目录用于存放密钥/认证文件
二.具体生成过程
1.虚拟CA机构方生成内容
(1)为CA机构生成私钥
openssl genrsa -out ca.prikey 2048
genrsa:表示生成私钥
-out:表示输出到哪个文件
2048:指定密钥长度
[root@sulibao ca_ca]# openssl genrsa -out ca.prikey 2048


 (2)为CA机构生成公钥
openssl rsa -in ca.prikey -pubout -out ca.pubkey
rsa:表示生成公钥
-in:指定输入文件
-pubout:表示提示openssl要输出的文件为公钥文件
[root@sulibao ca_ca]# openssl rsa -in ca.prikey -pubout -out ca.pubkey
writing RSA key
  
(3)为CA机构生成自签名证书
 openssl req -new -x509 -days 3650 -key ca.prikey -out ca.cert
req:表示生成请求文件
-new:表示创建一个新请求
-x509:类似证书版本号
-days:指定证书有效时间
-key:指定私钥文件
[root@sulibao ca_ca]# openssl req -new -x509 -days 3650 -key ca.prikey -out ca.cert
注意:提示输入信息可以直接回车,如若输入错误可以尝试使用BackSpace或者Ctrl+BackSpace进行删除 
 (4)查看各文件是否齐全
[root@sulibao ca_ca]# ll
total 28
-rw-r--r-- 1 root root 1363 Jan 7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan 7 18:54 ca.prikey
-rw-r--r-- 1 root root 451 Jan 7 18:56 ca.pubkey

已生成认证文件 
2.服务器方生成内容
(1)为服务器生成私钥
openssl genrsa -out ser.prikey 2048
[root@sulibao ca_ca]# openssl genrsa -out ser.prikey 2048

(2) 生成服务器证书申请文件
openssl req -new -key ser.prikey -out ser.csr
[root@sulibao ca_ca]# openssl req -new -key ser.prikey -out ser.csr
  
(3)把服务器申请文件发送给CA机构,请求签发证书
openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out ser.cert
-CA:指定CA机构的签名证书文件
-CAkey:指定CA机构的私钥文件
-CAcreateserial:CA认证标识
[root@sulibao ca_ca]# openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out ser.cert
Signature ok
subject=xxxxxx
Getting CA Private Key

(4)查看各文件是否齐全
[root@sulibao ca_ca]# ll
total 40
-rw-r--r-- 1 root root 1363 Jan 7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan 7 18:54 ca.prikey
-rw-r--r-- 1 root root 451 Jan 7 18:56 ca.pubkey
-rw-r--r-- 1 root root 17 Jan 7 20:09 ca.srl
-rw-r--r-- 1 root root 1245 Jan 7 19:28 ser.cert
-rw-r--r-- 1 root root 1082 Jan 7 19:17 ser.csr
-rw-r--r-- 1 root root 1679 Jan 7 19:15 ser.prikey

 已生成认证文件
3.客户端方生成内容
(1)为客户端生成私钥
openssl genrsa -out cli.prikey 2048
[root@sulibao ca_ca]# openssl genrsa -out cli.prikey 2048

  
(2)生成客户端证书申请文件
openssl req -new -key cli.prikey -out cli.csr
[root@sulibao ca_ca]# openssl req -new -key cli.prikey -out cli.csr

 
(3)把客户端申请文件发送给CA机构,请求签发证书
openssl x509 -req -days 3650 -in cli.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out cli..cert
[root@sulibao ca_ca]# openssl x509 -req -days 3650 -in cli.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out cli..cert
Signature ok
subject=xxxxxx
Getting CA Private Key


(4)查看各文件是否齐全
[root@sulibao ca_ca]# ll
total 40
-rw-r--r-- 1 root root 1363 Jan 7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan 7 18:54 ca.prikey
-rw-r--r-- 1 root root 451 Jan 7 18:56 ca.pubkey
-rw-r--r-- 1 root root 17 Jan 7 20:09 ca.srl
-rw-r--r-- 1 root root 1204 Jan 7 20:09 cli.cert
-rw-r--r-- 1 root root 985 Jan 7 20:07 cli.csr
-rw-r--r-- 1 root root 1675 Jan 7 20:06 cli.prikey
-rw-r--r-- 1 root root 1245 Jan 7 19:28 ser.cert
-rw-r--r-- 1 root root 1082 Jan 7 19:17 ser.csr
-rw-r--r-- 1 root root 1679 Jan 7 19:15 ser.prikey

已生成认证文件 


香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价