From b3a9d43f6891c2adce41cdc5dddfd715a703126b Mon Sep 17 00:00:00 2001 From: wxy Date: Thu, 14 May 2015 00:26:56 +0800 Subject: [PATCH] PUB:20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation @GOLinux --- ...e CA including OCSP, CRL and revocation.md | 75 ++++++++++--------- 1 file changed, 38 insertions(+), 37 deletions(-) rename {translated/tech => published}/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md (82%) diff --git a/translated/tech/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md b/published/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md similarity index 82% rename from translated/tech/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md rename to published/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md index b9b5748f7a..9bd388f67c 100644 --- a/translated/tech/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md +++ b/published/20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation.md @@ -1,18 +1,18 @@ -OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 +建立你自己的 CA 服务:OpenSSL 命令行 CA 操作快速指南 ================================================================================ -这些是关于使用OpenSSL生成证书授权(CA)、中间证书授权和末端证书的速记随笔,内容包括OCSP、CRL和CA颁发者信息,以及指定颁发和有效期限。 +这些是关于使用 OpenSSL 生成证书授权(CA)、中间证书授权和末端证书的速记随笔,内容包括 OCSP、CRL 和 CA 颁发者信息,以及指定颁发和有效期限等。 -我们将建立我们自己的根CA,我们将使用根CA来生成一个样例中间CA,我们将使用中间CA来签署末端用户证书。 +我们将建立我们自己的根 CA,我们将使用根 CA 来生成一个中间 CA 的例子,我们将使用中间 CA 来签署末端用户证书。 -### 根CA ### +### 根 CA ### -创建根CA授权目录并切换到该目录: +创建根 CA 授权目录并切换到该目录: mkdir ~/SSLCA/root/ cd ~/SSLCA/root/ -为我们的根CA生成一个8192位长的SHA-256 RSA密钥: +为我们的根 CA 生成一个8192位长的 SHA-256 RSA 密钥: openssl genrsa -aes256 -out rootca.key 8192 @@ -23,9 +23,9 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 ....................................................................................................................++ e is 65537 (0x10001) -如果你想要用密码保护该密钥,请添加`-aes256`选项。 +如果你想要用密码保护该密钥,请添加 `-aes256` 选项。 -创建自颁发根CA证书`ca.crt`;你需要为你的根CA提供一个身份: +创建自签名根 CA 证书 `ca.crt`;你需要为你的根 CA 提供一个身份: openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out rootca.crt @@ -46,13 +46,13 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 Common Name (e.g. server FQDN or YOUR name) []:Sparkling Root CA Email Address []: -创建存储CA序列的文件: +创建一个存储 CA 序列的文件: touch certindex echo 1000 > certserial echo 1000 > crlnumber -放置CA配置文件,该文件持有CRL和OCSP末端的存根。 +放置 CA 配置文件,该文件持有 CRL 和 OCSP 末端的存根。 # vim ca.conf [ ca ] @@ -121,18 +121,19 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 OCSP;URI.0 = http://pki.sparklingca.com/ocsp/ OCSP;URI.1 = http://pki.backup.com/ocsp/ -如果你需要设置某个特定的证书生效/过期日期,请添加以下内容到`[myca]` +如果你需要设置某个特定的证书生效/过期日期,请添加以下内容到`[myca]`: # format: YYYYMMDDHHMMSS default_enddate = 20191222035911 default_startdate = 20181222035911 -### 创建中间1 CA ### +### 创建中间 CA### + +生成中间 CA (名为 intermediate1)的私钥: -生成中间CA的私钥: openssl genrsa -out intermediate1.key 4096 -生成intermediate1 CA的CSR: +生成中间 CA 的 CSR: openssl req -new -sha256 -key intermediate1.key -out intermediate1.csr @@ -158,9 +159,9 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 A challenge password []: An optional company name []: -确保中间CA的主体(CN)和根CA不同。 +确保中间 CA 的主体(CN)和根 CA 不同。 -用根CA签署intermediate1 CSR: +用根 CA 签署 中间 CA 的 CSR: openssl ca -batch -config ca.conf -notext -in intermediate1.csr -out intermediate1.crt @@ -181,26 +182,26 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 Write out database with 1 new entries Data Base Updated -生成CRL(同时采用PEM和DER格式): +生成 CRL(同时采用 PEM 和 DER 格式): openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem openssl crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl -每次使用该CA签署证书后,请生成CRL。 +每次使用该 CA 签署证书后,请生成 CRL。 如果你需要撤销该中间证书: openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert rootca.crt -### 配置中间CA 1 ### +### 配置中间 CA ### -为该中间CA创建一个新文件夹,然后进入该文件夹: +为该中间 CA 创建一个新文件夹,然后进入该文件夹: mkdir ~/SSLCA/intermediate1/ cd ~/SSLCA/intermediate1/ -从根CA拷贝中间证书和密钥: +从根 CA 拷贝中间证书和密钥: cp ~/SSLCA/root/intermediate1.key ./ cp ~/SSLCA/root/intermediate1.crt ./ @@ -211,7 +212,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 echo 1000 > certserial echo 1000 > crlnumber -创建一个新的`ca.conf`文件: +创建一个新的 `ca.conf` 文件: # vim ca.conf [ ca ] @@ -269,15 +270,15 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 OCSP;URI.0 = http://pki.sparklingca.com/ocsp/ OCSP;URI.1 = http://pki.backup.com/ocsp/ -修改`[alt_names]`部分,添加你需要的主体备选名。如果你不需要主体备选名,请移除该部分包括`subjectAltName = @alt_names`的行。 +修改 `[alt_names]` 部分,添加你需要的主体备选名。如果你不需要主体备选名,请移除该部分包括`subjectAltName = @alt_names`的行。 -如果你需要设置一个指定的生效/到期日期,请添加以下内容到`[myca]` +如果你需要设置一个指定的生效/到期日期,请添加以下内容到 `[myca]`: # format: YYYYMMDDHHMMSS default_enddate = 20191222035911 default_startdate = 20181222035911 -生成一个空白CRL(同时以PEM和DER格式): +生成一个空白 CRL(同时以 PEM 和 DER 格式): openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem @@ -285,7 +286,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 ### 生成末端用户证书 ### -我们使用这个新的中间CA来生成一个末端用户证书,请重复以下操作来使用该CA为每个用户签署。 +我们使用这个新的中间 CA 来生成一个末端用户证书,请重复以下操作来使用该 CA 为每个用户签署。 mkdir enduser-certs @@ -293,7 +294,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 openssl genrsa -out enduser-certs/enduser-example.com.key 4096 -生成末端用户的CSR: +生成末端用户的 CSR: openssl req -new -sha256 -key enduser-certs/enduser-example.com.key -out enduser-certs/enduser-example.com.csr @@ -319,7 +320,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 A challenge password []: An optional company name []: -使用Intermediate 1 CA签署末端用户的CSR: +使用中间 CA 签署末端用户的 CSR: openssl ca -batch -config ca.conf -notext -in enduser-certs/enduser-example.com.csr -out enduser-certs/enduser-example.com.crt @@ -340,13 +341,13 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 Write out database with 1 new entries Data Base Updated -生成CRL(同时以PEM和DER格式): +生成 CRL(同时以 PEM 和 DER 格式): openssl ca -config ca.conf -gencrl -keyfile intermediate1.key -cert intermediate1.crt -out intermediate1.crl.pem openssl crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl -每次你使用该CA签署证书后,都需要生成CRL。 +每次你使用该 CA 签署证书后,都需要生成 CRL。 如果你需要撤销该末端用户证书: @@ -358,7 +359,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 Revoking Certificate 1000. Data Base Updated -通过联结根证书和intermediate 1证书来创建证书链文件。 +通过连接根证书和中间证书来创建证书链文件。 cat ../root/rootca.crt intermediate1.crt > enduser-certs/enduser-example.com.chain @@ -368,16 +369,16 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 enduser-example.com.key enduser-example.com.chain -你也可以只发送给他们.crt文件,让末端用户提供他们自己的CSR。不要把它从服务器删除,否则你就不能撤销了。 +你也可以让末端用户提供他们自己的 CSR,而只发送给他们这个 .crt 文件。不要把它从服务器删除,否则你就不能撤销了。 -### 合法化证书 ### +### 校验证书 ### -你可以使用以下命令来针对链验证末端用户证书: +你可以对证书链使用以下命令来验证末端用户证书: openssl verify -CAfile enduser-certs/enduser-example.com.chain enduser-certs/enduser-example.com.crt enduser-certs/enduser-example.com.crt: OK -你也可以针对CRL来验证。首先,将PEM、CRL和链连结: +你也可以针对 CRL 来验证。首先,将 PEM 格式的 CRL 和证书链相连接: cat ../root/rootca.crt intermediate1.crt intermediate1.crl.pem > enduser-certs/enduser-example.com.crl.chain @@ -389,7 +390,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销 enduser-certs/enduser-example.com.crt: OK -撤销后的输出: +撤销后的输出如下: enduser-certs/enduser-example.com.crt: CN = example.com, ST = Noord Holland, C = NL, O = Example Inc, OU = IT Dept error 23 at 0 depth lookup:certificate revoked @@ -400,6 +401,6 @@ via: https://raymii.org/s/tutorials/OpenSSL_command_line_Root_and_Intermediate_C 作者:Remy van Elst 译者:[GOLinux](https://github.com/GOLinux) -校对:[校对者ID](https://github.com/校对者ID) +校对:[wxy](https://github.com/wxy) 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](https://linux.cn/) 荣誉推出