返回
openssl生成证书及吊销列表

openssl生成证书及吊销列表

ID:39466726

大小:38.50 KB

页数:7页

时间:2019-07-04

openssl生成证书及吊销列表_第1页
openssl生成证书及吊销列表_第2页
openssl生成证书及吊销列表_第3页
openssl生成证书及吊销列表_第4页
openssl生成证书及吊销列表_第5页
资源描述:

《openssl生成证书及吊销列表》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、openssl生成证书及吊销列表一,先来讲讲基本概念。证书分类:按类型可以分为CA证书和用户用户证书,我们我说的root也是特殊的CA证书。用户证书又可以根据用途分类,放在服务器端的称为服务器证书,放在客户端一般称为客户端证书(这种说法不是很准确,只是一种理解。实际应该是在对客户端认证时才会用到客户端证书且root、ca证书都可以放在客户端),记住,这两种证书都应为用户证书。一般可以理解为证书由key和证书(没有key的文件也称为证书)组成,谁拥有这两个东西才真正拥有这个证书。好比锁是有钥匙和锁头组成的,你得两都有。你只有锁

2、头锁住东西,却没有钥匙打开,也没什么用。如果你对证书不了解,那一定要知道证书这三点作用(纯个人认为比较重要三点):1,签名:通过签名技术可以保证证书拥有者的唯一性,而且所有信息没有被篡改。想了解数字签名的自己百度一下。2,提供公钥:通过签名技术知道证书拥有者是A,且所有信息都是A,就可以拿到A的公钥算法及公钥。所以有些人理解为证书就是一个公钥(个人认为这种理解与实际偏差较大)。3,颁发者:找到颁发者很重要,每个证书都有一个颁发者。这个在证书认证时用得到。对于用户(人)来说还是通过证书名称来区分证书,下面讲解几种常见的证书。a

3、).cert或.crt文件:这种证书倒是可以理解为公钥证书,因为它最主要的作用就是来提供公钥的,只是一种理解,签名认证这些作用一样不会少。这种文件不含有key,就好像一个打开的锁头,可以发给任何人。所以拥有.cer或.crt文件的不是真正的拥有者,因为你可以用证书里的公钥加密,但并没有私钥解密。b).pfx文件:这种证书文件可以理解为.cer文件与key结合体,即拥有.pfx证书相当同时拥有公钥与私钥。即可以加密也可以解密。c).key文件:就是钥匙啦。锁头可以给任何人,但是钥匙只能自己保留,所以这玩意一定要保存好。d).p

4、7b文件:为证书链文件,也不含私钥。证书链即证书的拥有者、颁发者、颁发者的颁发者、依次类推的证书合成一个文件。以上对证书概念基础的了解,有基础的可以不用看。实际证书分类根据编码方式来区分的,只是为了方便理解才这么分的。当我们需要向对方发送加密数据时,我们只需要对方的cer或crt文件就可以了。而需要对方向自己发送加密数据时,自己得拥有key,并且对方要有自己公钥(从cer文件获得)。二、环境搭建安装openssl这个就不讲了,现在很多linux版本都默认安装了。先来看下配置文件中一段。默认配置文件/usr/local/ope

5、nssl/ssl/openssl.cnf或者/etc/pki/tls/openssl.cnf。dir=./demoCA#Whereeverythingiskeptcerts=$dir/certs#Wheretheissuedcertsarekeptcrl_dir=$dir/crl#Wheretheissuedcrlarekeptdatabase=$dir/index.txt#databaseindexfile.#unique_subject=no#Setto'no'toallowcreationof#severalctifi

6、cateswithsamesubject.new_certs_dir=$dir/newcerts#defaultplacefornewcerts.certificate=$dir/cacert.pem#TheCAcertificateserial=$dir/serial#Thecurrentserialnumbercrlnumber=$dir/crlnumber#thecurrentcrlnumber#mustbecommentedouttoleaveaV1CRLcrl=$dir/crl.pem#ThecurrentCRLp

7、rivate_key=$dir/private/cakey.pem#TheprivatekeyRANDFILE=$dir/private/.rand#privaterandomnumberfile根据上面配置文件就知道,我们得搭建相同的目录结构环境。先创建一个目录test,并且将1,配置文件cp到test目录下。[iyunv@localhost~]#mkdirtest[iyunv@localhost~]#cdtest[iyunv@localhosttest]#cp/usr/local/openssl/ssl/openssl.

8、cnf./[iyunv@localhosttest]#lsopenssl.cnf2,根据配置文件中目录结构可知有个demoCA目录,目录下有各种文件。[iyunv@localhosttest]#mkdir./demoCA./demoCA/newcerts./demoCA/private[i

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。