个人工具
登录
查看“Openssl证书管理”的源代码 - Ubuntu中文
页面
讨论
查看源代码
历史
搜索
导航
首页
最近更改
随机页面
页面分类
帮助
编辑
编辑指南
沙盒
新闻动态
字词处理
工具
链入页面
相关更改
特殊页面
页面信息
查看“Openssl证书管理”的源代码
来自Ubuntu中文
←
Openssl证书管理
跳转至:
导航
,
搜索
因为以下原因,你没有权限编辑本页:
您所请求的操作仅限于该用户组的用户使用:
用户
您可以查看与复制此页面的源代码。
== 使用OpenSSL实现证书的管理 == 1 为CA创建一个RSA私钥 #openssl genrsa -des3 -out -ca.key 1024 系统提示输入PEM pass pharse,也就是密码。生成ca.key文件,可以将文件的属性改为400,并放在安全的地方。 2 利用CA的RSA私钥创建一个自签名的CA证书 创建一个自签名的证书(Selfsigned certificate)运行req命令,该命令生成一个ca.crt。 #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 然后系统提示输入国家代号、省份名称、城市名称、公司名称、部门名称、你的姓名及Email地址,这样一张自签名的CA证书就制作完成。 3 为客户颁发证书 为客户创建证书,先用genrsa命令生成的私钥,用req命令生成证书签署请求CSR。 #openssl genrsa -des3 -out client.key 1024 #openssl req -new -key client.key -out client.csr这里也要输入个人的信息。 然后用sign.sh签署证书。 #./sigh.sh client.crt 这样由CA签发的证书就制作完成。 4 撤消证书 要吊消证书可以使用openssl的ca命令,它可以对证书进行吊消、加进CRL及CRL有关的其它一些处理。 要吊消证书可以简单地使用以下命令: #openssl ca -revoke 证书文件名 这时数据库被更新证书被标记上吊消的标志,需要生成新的证书吊消列表: #openssl ca -gencrl -config /etc/openssl.cnf -out crl/sopac-ca.crl 证书吊消列表文件要在WEB站点上可以使用,必须将crldays或crlhours和crlexts加到证书中: openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl 5 证书的更新 当用户发送他旧的证书证书或要在原有私钥的基础上建新的证书,所以必须吊消旧的证书然后再签发新的证书。要找到证书,可以用户的DN(区别名)在 index.txt文件中查到序列号xx,用cert/<xx>.pem做为证书吊消的依据。你必须手动签发证书,因为开始时间和结束时间以 便确定新证书的有效性。 #openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem -startdate [now] -enddate [previous enddate+365days] 用正确的时间替换 [now]和[previous enddate+365days]。 6 查看证书 #openssl x509 -in cert.pem -noout -text </pre>
返回至
Openssl证书管理
。