プライベートCAを設立し、証明書申請を完了する
私有CA及び方法証明書の作成手順:
1、必要なファイルを作成する
touch /etc/pki/CA/index.txt #
echo 01 > /etc/pki/CA/serial #
2、CAは署名秘密鍵を生成する
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
3、CA自己署名証明書の生成
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
4、証明書申請が必要なホスト①で証明書申請の署名秘密鍵を生成する
(umask 066; openssl genrsa -out /data/test.key 2048)
②証明書申請書類の作成
openssl req -new -key /data/test.key -out /data/test.csr
5、証明書要求ファイルをCAに転送する
6、CAは証明書に署名し、証明書を要求者に発行する
openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100
(注:デフォルトでは国、省、社名の3つがCAと一致している必要があります)
証明書の情報を表示するには、次の手順に従います.
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL
証明書の取り消し手順
1、クライアントで取り消す証明書を取得するserial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
2、CAでは、お客様から提出されたserialとsubjectの情報に基づいて、indexと比較検査する.txtファイルの情報が一致する
3、取り消し証明書:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
4、最初の取り消し証明書の番号を指定します.注意:証明書の取り消しリストを初めて更新する前に、実行する必要があります.
echo 01 > /etc/pki/CA/crlnumber
5、証明書の取り消しリストを更新する
openssl ca -gencrl -out /etc/pki/CA/crl.pem
crlファイルを表示するには:
openssl crl -in /etc/pki/CA/crl.pem -noout -text