标签:openssl生成证书
生成密钥
openssl genrsa -out server.key
提取公钥
openssl rsa -in server.key -pubout
生成自签名证书
openssl req -new -x509 -key server.key -out server.crt -days 365
-new:新的申请
-key:密钥文件
-out:保存的文件
-days:有效期
查看证书内容
openssl x509 -text -in server.crt
配置文件:/etc/pki/tls/openssl.cnf
openssl中有如下后缀名的文件
key格式:私有的密钥
csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
crt格式:证书文件,certificate的缩写
crl格式:证书吊销列表,Certificate Revocation List的缩写
pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
使用openssl生成证书步骤
1、建立CA密钥
openssl genrsa -out ca.key 1024 创建密钥
chmod 400 ca.key 修改权限为仅root可以访问
openssl rsa -text -in ca.key 查看创建的证书
2、利用CA密钥自签署CA证书
openssl req -new -x509 -key ca.key -out ca.crt -days 3655
chmod 400 ca.crt
openssl x509 -text -in ca.crt 查看创建的证书
3、创建服务器证书签署申请
openssl genrsa -out server.key 1024
chmod 400 server.key
openssl rsa -text -in server.key
4、利用证书签署申请生成请求
openssl req -new -key server.key -out server.csr
openssl req -text -in server.csr 查看创建的申请
5、进行证书签署
首先要设置openssl的配置文件,并根据配置文件创建相应的目录和文件
mkdir certs newcerts crl
touch index.txt serial
echo 01 > serial
openssl ca -keyfile ca.key -cert ca.crt -in server.csr -out server.pem
6、证书撤销
openssl ca -keyfile ca.key -cert ca.crt -revoke server.pem
这时数据库证书被标记上撤销表示,需要生成新的证书撤销列表
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crt/test.crl
查看证书撤销列表
openssl crl -text -in crl/test.crl
证书撤销列表文件要在WEB站点上可以使用,必须将crldays加到证书中
openssl ca -gencrl -config /etc/pki/openssl.cnf -crldays 7 -crtexts crl_ext -out crl/sopac-ca.crl
本文出自 “ngames” 博客,请务必保留此出处http://ngames.blog.51cto.com/3187187/1559201
标签:openssl生成证书
原文地址:http://ngames.blog.51cto.com/3187187/1559201