OpenSSL PKI命令教程(简单实现自签CA和数字证书)
实验参考:
生成自签CA
证书作为CA根证书,一旦该证书安装,此CA就会被信任
- 建立文件夹
mkdir ~/myCert cd ~/myCert mkdir demoCA mkdir demoCA/private mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts touch demoCA/index.txt touch demoCA/serial cat "good" >> testPage.txt od -vAn -N4 -tx1 < /dev/urandom |tr -d > demoCA/serial cd demoCA
- 生成自签CA。默认使用RSA-2048 with SHA-256
openssl req -new -x509 -keyout private/cakey.pem -out cacert.crt cd ..
3. 包含CA的私钥,cacert.crt包含公钥证书。
openssl x509 -in cacert.crt -noout -text
让CA为LabServer.com生成一个数字证书
- 生成公私钥对 用户需要一个公私钥对,存储为server.key。
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out server.key
- 生成证书签发请求CSR 将CSR发送给CA,CA会根据CSR的内容生成证书。 注意,CSR的信息要与申请签名实体信息匹配。
openssl req -new -key server.key -out server.csr
- 生成证书
上面会生成我们的证书:server.crt 另一方面证书会影响之前创建的serial和index.txt文件,我们进行查看
more demoCA/serial more demoCA/index.txt
这是生成证书的数据记录
随后我们验证签名
