CA通俗点讲就是让两个互不认识的人相信彼此的中间人功能类似我们常使用的支付宝。
我们要给别人办证书,首先自己得是个证书颁发服务器,得自己有证书,所以首先我们在服务器端创建自己的证书
Server创建证书的步骤:
1:我们的配置文件中有三个目录我们CA目录下是没有的,这里需要我们手动创建三个目录:
/etc/pki/CA/serial /etc/pki/CA/index.txt /etc/pki/CA/crlnumber
serial文件是记录已签证书编号的文件我们可以规定从01开始:
#echo 01 > serial
2:创建私钥,
说明:公钥是从私钥中提取出来的,
#cd /etc/pki/CA
#openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
我们会发现我们创建的私钥对别人都有读取的权限,这很不安全所以我们使用下面的这种方法:
#(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
证书签署请求到了服务器端,我们就可以在服务器端给其颁发证书了。
证书颁发完我们需要把证书发给客户端:
在客户端查看下:
OK,服务器端的证书自签以及客户端的证书申请操作全部完成。
本文出自 “欢迎大家来做客” 博客,请务必保留此出处
走过一个又一个陌生的城市,去感受旖旎的自然风光,