一.CA认证流程
-
实验环境
CA认证中心服务端 |
lewis63 |
IP:192.168.1.63 |
客户端 |
lewis64 |
IP:192.168.1.64 |
认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA证书作用:身份认证--->数据的不可否认性
https 监听端口:443
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。
总结:证书签名过程
(1)生成请求文件
(2)CA确认申请者的身份真实性
(3)CA使用根证书的私钥加密请求文件,生成证书
(4)把证书传给申请者
二.搭建CA认证中心
1.安装CA认证软件包中心
[root@lewis63 ~]# rpm -qf `which openssl`
openssl-1.0.2k-8.el7.x86_64
2.配置一个自己的CA认证中心。生成CA的根证书和私钥。 根证书中包括:CA的公钥
[root@lewis63 ~]# vim /etc/pki/tls/openssl.cnf
改:172 #basicConstraints=CA:FALSE
为:172 basicConstraints=CA:TRUE #让自己成功CA认证中心
3.生成CA的公钥证书和私钥
[root@lewis63 ~]# /etc/pki/tls/misc/CA –h #查看帮助
usage: /etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify
选项 :
-newcert 新证书
-newreq 新请求
-newreq-nodes 新请求节点
-newca 新的CA证书
-sign 签证
-verify 验证
[root@lewis63 ~]# /etc/pki/tls/misc/CA -newca
CA certificate filename (or enter to create)
Making CA certificate ...
Generating a 2048 bit RSA private key
...................+++
.+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase:123456 #输入密码,保护私钥
Verifying - Enter PEM pass phrase:123456 #再次输入
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country