把第一步生成的ca证书cacert.pem放到demoCA目录中,覆盖空文件cacert.pem 把第一步生成的ca密钥cakey.pem防盗demoCA/private/目录,覆盖空文件cakey.pem. 3、CA指令参数说明 查看ca指令的man手册,可知ca选项如下 openssl ca [-verbose] [-config filename] [-name section] [-gencrl] [-revoke file] [-crl_r...
certs、database、new_certs_dir、serial:都是和刚刚创建的文件/文件夹的路径对应 注意:$dir/certs之类的表示,意思是查找的是dir路径下的certs文件/文件夹 四、生成CA证书 4.1 生成密钥对 openssl genrsa -out ca.key 2048 详见“前情提要”内容 (我是把ca.key放入CA文件夹中进行了归类,实际看自己喜好) 修改...
而前面生成根证书时,使用的-extensions值为v3_ca,v3_ca中指定的basicConstraints的值为CA:TRUE,表示该证书是颁发给CA机构的证书,如图: 在x509指令中,有多重方式可以指定一个将要生成证书的序列号,可以使用set_serial选项来直接指定证书的序列号,也可以使用-CAserial选项来指定一个包含序列号的文件。所谓的序列号是一...
国家(C)、省份(ST)、组织(O)必需和CA证书里的相同,不然后面签发会报错。 (3)签发证书 方式一(openssl x509命令签发,不使用配置文件/etc/pki/tls/openssl.cnf): openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -inserver.csr -out server.crt -days 3650 openssl x509命令具以下的...
[CA_default]部分的dir属性为openssl相关的存储目录,值为/etc/pki/CA。database属性为数据库索引文件,值为/etc/pki/CA/index.txt。serial属性为证书当前序号,值为/etc/pki/CA/serial。 1.2. OpenSSL自建CA相关命令 1.2.1. ca ca命令是一个最小的CA应用程序。它可对多种格式的证书请求进行签名,也可创建证书...
1、创建 CA 目录 mkdir -p ~/ssl/demoCA/{certs,newcerts,crl,private} cd ~/ssl/demoCA Touch index.txt echo “01” > serial 2、修改 openssl.cnf 文件 建议拷贝 openssl.cnf 文件到自定义文件夹下,这样可以自定义证书和证书申请中的一些属性和扩展,如秘钥扩展等: ...
一、创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf 2)创建所需的文件 touch /etc/pki/CA/index.txt echo 01 >/etc/pki/CA/serial 3)CA自签证书生成私钥 cd /etc/pki/CA (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) ...
│ └── ca.cert.pem # 根CA证书 ├── crl # 证书撤销列表 ├── index.txt # CA文本数据库文件,索引文件 ├── index.txt.attr # CA文本数据库属性文件,包含一个配置行 ├── index.txt.old # CA文本数据库备份文件 ├── intermediate # 中间CA证书文件夹 ...
echo “00” > demoCA/serial linux下使用openssl生成https的crt和key证书 x509证书一般会用到三类文,key,csr,crt Key 是私用密钥openssl格,通常是rsa算法. Csr 是证书请求文件,用于申请证书.在制作csr文件的时,必须使用自己的私钥来签署申,还… Widows下利用OpenSSL生成证书 ...
* serial :下一个证书的编号,初始为两位数,比如:01 * crlnumber :下一个吊销证书的编号,初始为两位数,比如:01 * newcerts :新颁发的证书 * certs :用来保存的已颁发证书 * crl.pem :CA吊销证书 * crl :用来保持的已吊销证书 1.2 生成CA私钥及证书 ...