關於CA自我認證以及向其他服務端發送證書的實驗
一、CA證書的制作(CA的主機上)
1、查看是否安裝了openssl軟件
# rpm -qa openssl
2、生成自簽證書(在/etc/pki/CA目錄下完成 )
(1)生成私鑰
(2)生成自簽證書
//由於生成證書是需要填寫一些國家,省份等信息。這裏將這些信息直接寫入其默認配置文件中,以後就不用再填寫了。
【編輯/etc/pki/tls/openssl.cnf,】找到大約136行左右:
【生成自簽證書】
//要想將CA作為私有CA使用,則還需要在/etc/pki/tls/openssl.cnf文件中修改默認路徑:
並且將CA工作時所需的目錄創建出來。
由此,CA證書便創建完成
二、配置web服務器為CA客戶端(在172.16.13.2主機上)
1、在/etc/httpd目錄下,創建一個ssl目錄
2、在ssl目錄下生成一個私鑰以及證書頒發請求。
3、將證書頒發請求復制到CA服務器上
三、簽署證書(CA服務器上)
使用下邊一條命令進行簽署:
# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650
四、驗證(CA主機上)
查看/etc/pki/CA目錄下的index.txt以及serial,生成了證書索引
五、將證書發送給客戶端(172.16.13.2)
六、重啟web服務器
# service httpd restart
七、在物理機上驗證
1、使用u盤或者遠程連接等工具將CA服務器上/etc/pki/CA/cacert.pem文件拷貝到自己的window桌面。
2、將cacert.pem的後綴名修改為.crt,打開後安裝證書
好啦!一個完整的CA自簽證書認證已經完成了,是不是覺得很神奇呢?那麽就動手制作吧!
關於CA自我認證以及向其他服務端發送證書的實驗