LINUX-OPENSSL証明書発行

6725 ワード

linux 文字証明書 OpenSSL ca

====================== * OPENSSL ====================== 1. OPENSSLをインストールしopensslを確認する.cnfファイルの場所


  
  
  
  
   
   
   
   $ yum install openssl 
   
   
   
   $ rpm -qa | grep openssl 
   
   
   
   $ rpm -ql openssl-*

2.証明書、一時ファイル、秘密鍵を格納するための関連ディレクトリ設定


  
  
  
  
   
   
   
   $ mkdir /etc/ssl 
   
   
   
   $ mkdir /etc/ssl/private 
   
   
   
   $ chmod 700 /etc/ssl/private 
   
   
   
   $ mkdir /etc/ssl/crl 
   
   
   
   $ mkdir /etc/ssl/newcrt

3.SSLは構成を初期化し、デフォルトのプロファイルを新しい場所に移動し、修正し、OPENSSLに必要な環境変数をエクスポートする


  
  
  
  
   
   
   
   $ cp /usr/share/ssl/openssl.cnf /etc/ssl 
   
   
   
   $ ln -s /etc/ssl/openssl.cnf /usr/share/ssl/openssl.cnf 
   
   
   
   $ echo 'export OPENSSL_CONF="/etc/ssl/openssl.cnf"' >> ~/.bashrc 
   
   
   
   $ vi /etc/ssl/openssl.cnf
;   "dir = /etc/ssl"

4.乱数の生成


  
  
  
  
   
   
   
   $ openssl rand -out /etc/ssl/private/.rand 1024 
   
   
   
   $ chmod 700 /etc/ssl/private/.rand

5.RSA、CA秘密鍵を生成し、CA秘密鍵はCAルート証明書を発行するために使用され、CAルート証明書は他の人にダウンロードする必要があり、この証明書を使用してWEB証明書などの他の証明書を認証できるようにする.


  
  
  
  
   
   
   
   $ openssl genrsa -des3 -out /etc/ssl/private/CA.key 2048 
   
   
   
   $ chmod 700 /etc/ssl/private/CA.key 2048

6.CA証明書申請書類(CSR)を記入する


  
  
  
  
   
   
   
   $ openssl req -new -key /etc/ssl/private/CA.key -out /tmp/CA.rc

その後、いくつかの情報がポップアップされ、ヒントに従って入力すればいいです.完了すると、証明書要求ファイルが生成されます.このステップは、専門認証機関のWebページに関連情報を入力することに相当します.その後、サーバはあなたの(CSR)ファイルを提供します.その後、このファイルを使用して証明書を発行することができます.このファイルは中間ファイルにすぎません.証明書の生成に関する内容が含まれています
7.CAを発行し、ルート証明書なので上級証明書がなく、自分で発行する


  
  
  
  
   
   
   
   $ openssl x509 \ 
   
   
   
     -req -days 7310 \ 
   
   
   
     -sha1 -extfile /etc/ssl/openssl.conf \ 
   
   
   
     -extensions v3_ca \ 
   
   
   
     -signkey /etc/ssl/private/CA.key \ 
   
   
   
     -in /tmp/CA.rc \ 
   
   
   
     -out /etc/ssl/certs/CA.crt

説明する
; 期限切れは20年です.プロファイル/etc/ssl/openssl.conf ; v 3_の形式Ca証明書;署名鍵/etc/ssl/private/CA.key;証明書申請書類/tmp/CA.rc;CA証明書/etc/ssl/certs/CA.crt 8.WEB証明書を発行する.WEB証明書の秘密鍵を発行する


  
  
  
  
   
   
   
   $ openssl genrsa -out /etc/ssl/private/www.key 2048 
   
   
   
   $ chmod 700 /etc/ssl/private/www.key

; 証明書申請書類(CSR)を記入する.注意「COMMON NAME」はFQDNである.追加のチャレンジパスワードは入力しないでください.そうしないと、サーバーを起動するたびにこのパスワードを入力します.


  
  
  
  
   
   
   
   $ openssl req \ 
   
   
   
     -new -key /etc/ssl/private/www.key \ 
   
   
   
     -out /tmp/www.rc

; WEB証明書を発行する


  
  
  
  
   
   
   
   $ openssl x509 \ 
   
   
   
     -req -days 3650 -sha1 \ 
   
   
   
     -extfile /etc/ssl/openssl.cnf \ 
   
   
   
     -extensions v3_req \ 
   
   
   
     -CA /etc/ssl/certs/CA.crt \ 
   
   
   
     -CAkey /etc/ssl/private/CA.key \ 
   
   
   
     -CAserial /etc/ssl/ca.srl -CAcreateserial \ 
   
   
   
     -in /tmp/www.rc \ 
   
   
   
     -out /etc/ssl/certs/www.crt

説明する
; アクション:証明書を要求し、期限切れは10年、要約アルゴリズムはSHA 1である.プロファイル/etc/ssl/openssl.cnf ; CAルート証明書/etc/ssl/certs/CA.crtを使用して署名します.CA秘密鍵ファイル:CA.key;CAシリアル番号ファイルca.srlを作成して使用します.証明書リクエストファイルwww.rc証明書出力www.crt
------------------*プチテクニック-----------;BASE-64符号化ファイルおよびBASE 64符号化されたファイルの復元は、一般的には、SMTPサーバをデバッグする際に使用される場合がある


  
  
  
  
   
   
   
   $ openssl base64 < filename.bin > filename_base64.txt 
   
   
   
   $ openssl base64 -d < filename_base64.txt > filename.bin 
   
   
   
   $ echo -n "Hello" | openssl base64

; 計算ファイルSHA 1ハッシュは、一般的にダウンロードされたファイルが正しいかどうかを検証するために使用されます.


  
  
  
  
   
   
   
   $ openssl sha1 filename.bin

この文は私が一部の先辈の文章を参考にした后に自分で书いて、もし同じように绝対に一致するならば、また、私は证明书に対して理解するものも多くないため、间违いの间违いは避けられないで、もし高い人が通りかかったら指导を惜しまないでください(注:添付ファイルは本文の内容で、もし必要ならば各位はダウンロードすることができます)

JAvaIO fileクラス

Springソース学習-JdbcTemplate batchUpdate一括操作