PUB:20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation

@GOLinux
2025-01-25 23:11:02 +08:00 · 2015-05-14 00:26:56 +08:00 · 2015-05-14 00:26:56 +08:00 · b3a9d43f68
commit b3a9d43f68
parent af8363d32a
1 changed files with 38 additions and 37 deletions
--- a/translated/tech/20150511
+++ b/translated/tech/20150511
@ -1,18 +1,18 @@
-OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
+建立你自己的 CA 服务：OpenSSL 命令行 CA 操作快速指南
 ================================================================================

-这些是关于使用OpenSSL生成证书授权（CA）、中间证书授权和末端证书的速记随笔，内容包括OCSP、CRL和CA颁发者信息，以及指定颁发和有效期限。
+这些是关于使用 OpenSSL 生成证书授权（CA）、中间证书授权和末端证书的速记随笔，内容包括 OCSP、CRL 和 CA 颁发者信息，以及指定颁发和有效期限等。

-我们将建立我们自己的根CA，我们将使用根CA来生成一个样例中间CA，我们将使用中间CA来签署末端用户证书。
+我们将建立我们自己的根 CA，我们将使用根 CA 来生成一个中间 CA 的例子，我们将使用中间 CA 来签署末端用户证书。

-### 根CA ###
+### 根 CA ###

-创建根CA授权目录并切换到该目录：
+创建根 CA 授权目录并切换到该目录：

    mkdir ~/SSLCA/root/
    cd ~/SSLCA/root/

-为我们的根CA生成一个8192位长的SHA-256 RSA密钥：
+为我们的根 CA 生成一个8192位长的 SHA-256 RSA 密钥：

    openssl genrsa -aes256 -out rootca.key 8192

@ -23,9 +23,9 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    ....................................................................................................................++
    e is 65537 (0x10001)

-如果你想要用密码保护该密钥，请添加`-aes256`选项。
+如果你想要用密码保护该密钥，请添加 `-aes256` 选项。

-创建自颁发根CA证书`ca.crt`；你需要为你的根CA提供一个身份：
+创建自签名根 CA 证书 `ca.crt`；你需要为你的根 CA 提供一个身份：

    openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out rootca.crt

@ -46,13 +46,13 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    Common Name (e.g. server FQDN or YOUR name) []:Sparkling Root CA
    Email Address []:

-创建存储CA序列的文件：
+创建一个存储 CA 序列的文件：

    touch certindex
    echo 1000 > certserial
    echo 1000 > crlnumber

-放置CA配置文件，该文件持有CRL和OCSP末端的存根。
+放置 CA 配置文件，该文件持有 CRL 和 OCSP 末端的存根。

    # vim ca.conf
    [ ca ]
@ -121,18 +121,19 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
     OCSP;URI.0 = http://pki.sparklingca.com/ocsp/
     OCSP;URI.1 = http://pki.backup.com/ocsp/

-如果你需要设置某个特定的证书生效/过期日期，请添加以下内容到`[myca]`
+如果你需要设置某个特定的证书生效/过期日期，请添加以下内容到`[myca]`：

    # format: YYYYMMDDHHMMSS
    default_enddate = 20191222035911
    default_startdate = 20181222035911

-### 创建中间1 CA ###
+### 创建中间 CA###
+
+生成中间 CA （名为 intermediate1）的私钥：

-生成中间CA的私钥：
    openssl genrsa -out intermediate1.key 4096

-生成intermediate1 CA的CSR：
+生成中间 CA 的 CSR：

    openssl req -new -sha256 -key intermediate1.key -out intermediate1.csr

@ -158,9 +159,9 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    A challenge password []:
    An optional company name []:

-确保中间CA的主体（CN）和根CA不同。
+确保中间 CA 的主体（CN）和根 CA 不同。

-用根CA签署intermediate1 CSR：
+用根 CA 签署 中间 CA 的 CSR：

    openssl ca -batch -config ca.conf -notext -in intermediate1.csr -out intermediate1.crt

@ -181,26 +182,26 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    Write out database with 1 new entries
    Data Base Updated

-生成CRL（同时采用PEM和DER格式）：
+生成 CRL（同时采用 PEM 和 DER 格式）：

    openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem
    
    openssl crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl

-每次使用该CA签署证书后，请生成CRL。
+每次使用该 CA 签署证书后，请生成 CRL。

 如果你需要撤销该中间证书：

    openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert rootca.crt

-### 配置中间CA 1 ###
+### 配置中间 CA ###

-为该中间CA创建一个新文件夹，然后进入该文件夹：
+为该中间 CA 创建一个新文件夹，然后进入该文件夹：

    mkdir ~/SSLCA/intermediate1/
    cd ~/SSLCA/intermediate1/

-从根CA拷贝中间证书和密钥：
+从根 CA 拷贝中间证书和密钥：

    cp ~/SSLCA/root/intermediate1.key ./
    cp ~/SSLCA/root/intermediate1.crt ./
@ -211,7 +212,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    echo 1000 > certserial
    echo 1000 > crlnumber

-创建一个新的`ca.conf`文件：
+创建一个新的 `ca.conf` 文件：

    # vim ca.conf
    [ ca ]
@ -269,15 +270,15 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
     OCSP;URI.0 = http://pki.sparklingca.com/ocsp/
     OCSP;URI.1 = http://pki.backup.com/ocsp/

-修改`[alt_names]`部分，添加你需要的主体备选名。如果你不需要主体备选名，请移除该部分包括`subjectAltName = @alt_names`的行。
+修改 `[alt_names]` 部分，添加你需要的主体备选名。如果你不需要主体备选名，请移除该部分包括`subjectAltName = @alt_names`的行。

-如果你需要设置一个指定的生效/到期日期，请添加以下内容到`[myca]`
+如果你需要设置一个指定的生效/到期日期，请添加以下内容到 `[myca]`：

    # format: YYYYMMDDHHMMSS
    default_enddate = 20191222035911
    default_startdate = 20181222035911

-生成一个空白CRL（同时以PEM和DER格式）：
+生成一个空白 CRL（同时以 PEM 和 DER 格式）：

    openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem
    
@ -285,7 +286,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销

 ### 生成末端用户证书 ###

-我们使用这个新的中间CA来生成一个末端用户证书，请重复以下操作来使用该CA为每个用户签署。
+我们使用这个新的中间 CA 来生成一个末端用户证书，请重复以下操作来使用该 CA 为每个用户签署。

    mkdir enduser-certs

@ -293,7 +294,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销

    openssl genrsa -out enduser-certs/enduser-example.com.key 4096

-生成末端用户的CSR：
+生成末端用户的 CSR：

    openssl req -new -sha256 -key enduser-certs/enduser-example.com.key -out enduser-certs/enduser-example.com.csr

@ -319,7 +320,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    A challenge password []:
    An optional company name []:

-使用Intermediate 1 CA签署末端用户的CSR：
+使用中间 CA 签署末端用户的 CSR：

    openssl ca -batch -config ca.conf -notext -in enduser-certs/enduser-example.com.csr -out enduser-certs/enduser-example.com.crt

@ -340,13 +341,13 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    Write out database with 1 new entries
    Data Base Updated

-生成CRL（同时以PEM和DER格式）：
+生成 CRL（同时以 PEM 和 DER 格式）：

    openssl ca -config ca.conf -gencrl -keyfile intermediate1.key -cert intermediate1.crt -out intermediate1.crl.pem
    
    openssl crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl

-每次你使用该CA签署证书后，都需要生成CRL。
+每次你使用该 CA 签署证书后，都需要生成 CRL。

 如果你需要撤销该末端用户证书：

@ -358,7 +359,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    Revoking Certificate 1000.
    Data Base Updated

-通过联结根证书和intermediate 1证书来创建证书链文件。
+通过连接根证书和中间证书来创建证书链文件。

    cat ../root/rootca.crt intermediate1.crt > enduser-certs/enduser-example.com.chain

@ -368,16 +369,16 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销
    enduser-example.com.key
    enduser-example.com.chain

-你也可以只发送给他们.crt文件，让末端用户提供他们自己的CSR。不要把它从服务器删除，否则你就不能撤销了。
+你也可以让末端用户提供他们自己的 CSR，而只发送给他们这个 .crt 文件。不要把它从服务器删除，否则你就不能撤销了。

-### 合法化证书 ###
+### 校验证书 ###

-你可以使用以下命令来针对链验证末端用户证书：
+你可以对证书链使用以下命令来验证末端用户证书：

    openssl verify -CAfile enduser-certs/enduser-example.com.chain enduser-certs/enduser-example.com.crt 
    enduser-certs/enduser-example.com.crt: OK

-你也可以针对CRL来验证。首先，将PEM、CRL和链连结：
+你也可以针对 CRL 来验证。首先，将 PEM 格式的 CRL 和证书链相连接：

    cat ../root/rootca.crt intermediate1.crt intermediate1.crl.pem > enduser-certs/enduser-example.com.crl.chain

@ -389,7 +390,7 @@ OpenSSL命令行生成根CA和中间CA，涵盖了OCSP、CRL和证书撤销

    enduser-certs/enduser-example.com.crt: OK

-撤销后的输出：
+撤销后的输出如下：

    enduser-certs/enduser-example.com.crt: CN = example.com, ST = Noord Holland, C = NL, O = Example Inc, OU = IT Dept
    error 23 at 0 depth lookup:certificate revoked
@ -400,6 +401,6 @@ via: https://raymii.org/s/tutorials/OpenSSL_command_line_Root_and_Intermediate_C

 作者：Remy van Elst
 译者：[GOLinux](https://github.com/GOLinux)
-校对：[校对者ID](https://github.com/校对者ID)
+校对：[wxy](https://github.com/wxy)

 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译，[Linux中国](https://linux.cn/) 荣誉推出