mirror of
https://github.com/LCTT/TranslateProject.git
synced 2025-01-25 23:11:02 +08:00
PUB:20150511 OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation
@GOLinux
This commit is contained in:
wxy
parent
af8363d32a
commit
b3a9d43f68
@ -1,9 +1,9 @@
|
||||
OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
建立你自己的 CA 服务:OpenSSL 命令行 CA 操作快速指南
|
||||
================================================================================
|
||||
|
||||
这些是关于使用OpenSSL生成证书授权(CA)、中间证书授权和末端证书的速记随笔,内容包括OCSP、CRL和CA颁发者信息,以及指定颁发和有效期限。
|
||||
这些是关于使用 OpenSSL 生成证书授权(CA)、中间证书授权和末端证书的速记随笔,内容包括 OCSP、CRL 和 CA 颁发者信息,以及指定颁发和有效期限等。
|
||||
|
||||
我们将建立我们自己的根CA,我们将使用根CA来生成一个样例中间CA,我们将使用中间CA来签署末端用户证书。
|
||||
我们将建立我们自己的根 CA,我们将使用根 CA 来生成一个中间 CA 的例子,我们将使用中间 CA 来签署末端用户证书。
|
||||
|
||||
### 根 CA ###
|
||||
|
||||
@ -25,7 +25,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
|
||||
如果你想要用密码保护该密钥,请添加 `-aes256` 选项。
|
||||
|
||||
创建自颁发根CA证书`ca.crt`;你需要为你的根CA提供一个身份:
|
||||
创建自签名根 CA 证书 `ca.crt`;你需要为你的根 CA 提供一个身份:
|
||||
|
||||
openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out rootca.crt
|
||||
|
||||
@ -46,7 +46,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
Common Name (e.g. server FQDN or YOUR name) []:Sparkling Root CA
|
||||
Email Address []:
|
||||
|
||||
创建存储CA序列的文件:
|
||||
创建一个存储 CA 序列的文件:
|
||||
|
||||
touch certindex
|
||||
echo 1000 > certserial
|
||||
@ -121,18 +121,19 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
OCSP;URI.0 = http://pki.sparklingca.com/ocsp/
|
||||
OCSP;URI.1 = http://pki.backup.com/ocsp/
|
||||
|
||||
如果你需要设置某个特定的证书生效/过期日期,请添加以下内容到`[myca]`
|
||||
如果你需要设置某个特定的证书生效/过期日期,请添加以下内容到`[myca]`:
|
||||
|
||||
# format: YYYYMMDDHHMMSS
|
||||
default_enddate = 20191222035911
|
||||
default_startdate = 20181222035911
|
||||
|
||||
### 创建中间1 CA ###
|
||||
### 创建中间 CA###
|
||||
|
||||
生成中间 CA (名为 intermediate1)的私钥:
|
||||
|
||||
生成中间CA的私钥:
|
||||
openssl genrsa -out intermediate1.key 4096
|
||||
|
||||
生成intermediate1 CA的CSR:
|
||||
生成中间 CA 的 CSR:
|
||||
|
||||
openssl req -new -sha256 -key intermediate1.key -out intermediate1.csr
|
||||
|
||||
@ -160,7 +161,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
|
||||
确保中间 CA 的主体(CN)和根 CA 不同。
|
||||
|
||||
用根CA签署intermediate1 CSR:
|
||||
用根 CA 签署 中间 CA 的 CSR:
|
||||
|
||||
openssl ca -batch -config ca.conf -notext -in intermediate1.csr -out intermediate1.crt
|
||||
|
||||
@ -193,7 +194,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
|
||||
openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert rootca.crt
|
||||
|
||||
### 配置中间CA 1 ###
|
||||
### 配置中间 CA ###
|
||||
|
||||
为该中间 CA 创建一个新文件夹,然后进入该文件夹:
|
||||
|
||||
@ -271,7 +272,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
|
||||
修改 `[alt_names]` 部分,添加你需要的主体备选名。如果你不需要主体备选名,请移除该部分包括`subjectAltName = @alt_names`的行。
|
||||
|
||||
如果你需要设置一个指定的生效/到期日期,请添加以下内容到`[myca]`
|
||||
如果你需要设置一个指定的生效/到期日期,请添加以下内容到 `[myca]`:
|
||||
|
||||
# format: YYYYMMDDHHMMSS
|
||||
default_enddate = 20191222035911
|
||||
@ -319,7 +320,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
A challenge password []:
|
||||
An optional company name []:
|
||||
|
||||
使用Intermediate 1 CA签署末端用户的CSR:
|
||||
使用中间 CA 签署末端用户的 CSR:
|
||||
|
||||
openssl ca -batch -config ca.conf -notext -in enduser-certs/enduser-example.com.csr -out enduser-certs/enduser-example.com.crt
|
||||
|
||||
@ -358,7 +359,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
Revoking Certificate 1000.
|
||||
Data Base Updated
|
||||
|
||||
通过联结根证书和intermediate 1证书来创建证书链文件。
|
||||
通过连接根证书和中间证书来创建证书链文件。
|
||||
|
||||
cat ../root/rootca.crt intermediate1.crt > enduser-certs/enduser-example.com.chain
|
||||
|
||||
@ -368,16 +369,16 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
enduser-example.com.key
|
||||
enduser-example.com.chain
|
||||
|
||||
你也可以只发送给他们.crt文件,让末端用户提供他们自己的CSR。不要把它从服务器删除,否则你就不能撤销了。
|
||||
你也可以让末端用户提供他们自己的 CSR,而只发送给他们这个 .crt 文件。不要把它从服务器删除,否则你就不能撤销了。
|
||||
|
||||
### 合法化证书 ###
|
||||
### 校验证书 ###
|
||||
|
||||
你可以使用以下命令来针对链验证末端用户证书:
|
||||
你可以对证书链使用以下命令来验证末端用户证书:
|
||||
|
||||
openssl verify -CAfile enduser-certs/enduser-example.com.chain enduser-certs/enduser-example.com.crt
|
||||
enduser-certs/enduser-example.com.crt: OK
|
||||
|
||||
你也可以针对CRL来验证。首先,将PEM、CRL和链连结:
|
||||
你也可以针对 CRL 来验证。首先,将 PEM 格式的 CRL 和证书链相连接:
|
||||
|
||||
cat ../root/rootca.crt intermediate1.crt intermediate1.crl.pem > enduser-certs/enduser-example.com.crl.chain
|
||||
|
||||
@ -389,7 +390,7 @@ OpenSSL命令行生成根CA和中间CA,涵盖了OCSP、CRL和证书撤销
|
||||
|
||||
enduser-certs/enduser-example.com.crt: OK
|
||||
|
||||
撤销后的输出:
|
||||
撤销后的输出如下:
|
||||
|
||||
enduser-certs/enduser-example.com.crt: CN = example.com, ST = Noord Holland, C = NL, O = Example Inc, OU = IT Dept
|
||||
error 23 at 0 depth lookup:certificate revoked
|
||||
@ -400,6 +401,6 @@ via: https://raymii.org/s/tutorials/OpenSSL_command_line_Root_and_Intermediate_C
|
||||
|
||||
作者:Remy van Elst
|
||||
译者:[GOLinux](https://github.com/GOLinux)
|
||||
校对:[校对者ID](https://github.com/校对者ID)
|
||||
校对:[wxy](https://github.com/wxy)
|
||||
|
||||
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](https://linux.cn/) 荣誉推出
|
||||
Loading…
Reference in New Issue
Block a user