OpenSSL X.509 CA ( Certificate Authority )
2009-05-13 11:53:57来源:未知 阅读 ()
Description:在
[url=javascript:;]FreeBSD[/url]
中採用
[url=javascript:;]OpenSSL[/url]
製作 X.509 憑證簽發。完整的 SSL/X.509 應該要做三層:最高層認證中心 (
[url=javascript:;]Root[/url]
CA) ,中間的認證中心 (CA) ,最後才簽發下面的憑證,而本筆記則只有做兩層直接用最高的 Root CA 向下簽證。
Environment :
硬體:i386 PC
Intel P3 550 x 3 台
網卡:6 片網卡 《 每台各兩片:AP 為一片無線網卡 + 一片有線網卡,Gateway 則為兩片 100M 的有線網卡 》
作業系統:FreeBSD 6.2
Release
Setp
1.
設定 FreeBSD SSL 環境
# cd
/etc/ssl # 切換到 FreeBSD /etc/ssl 目錄下去設定 SSL
# mkdir -p /etc/ssl/private # 建立存放私鑰 Private Key 目錄
# chmod og-rwx /etc/ssl/private # 更改 Private Key 目錄權限
# mkdir -p /etc/ssl/certs
# mkdir -p /etc/ssl/crl
# mkdir -p /etc/ssl/newcerts
# vi /etc/ssl/openssl.cnf # 修改 ssl 設定檔目錄,將 demoCA Mark 起來再指向 /etc/ssl 目錄
#dir = ./demoCA
dir = /etc/ssl
Setp 2.
製作 Root CA 憑證,首先產生 Root Private key
# openssl genrsa -des3 -out /etc/ssl/private/myroot.key.pem 2048# chmod og-rwx /etc/ssl/private/myroot.key.pem
接著填寫 Root 憑證申請書
# openssl req -new -key /etc/ssl/private/myroot.key.pem -out /tmp/myroot.req.pem
最後簽發憑證 ( Root 自己簽給自己 ) 有效期就簽 7300 天約 20 年
# openssl x509
-req -days 7300 -sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_ca
-signkey /etc/ssl/private/myroot.key.pem -in /tmp/myroot.req.pem -out
/etc/ssl/certs/myroot.crt.pem
查看 /etc/ssl/private 目錄下是否有 myroot.key.pem Private Key 及 /etc/ssl/certs/ 下是否有 myroot.crt.pem Public Key
# ls /etc/ssl/private/etc/ssl/cert
※ Private key 檔案在 /etc/ssl/private/myroot.key.pem
要小心保管,檔案讀取權限最好不要給第二個人知道而簽好的Public Key 在 /etc/ssl/certs/myroot.crt.pem
可盡量散出去給其他人
完成後砍掉憑證申請書同時並建立 hash 索引
# rm -f /tmp/myrootca.req.pem# rehash /etc/ssl/certs
Setp 3.
製作 Server 的 Private key ,首先產生 Server 的 Private key
# openssl genrsa -out /etc/ssl/private/myserver.key.pem 2048# chmod og-rwx /etc/ssl/private/myserver.key.pem
※ Server 的 Private Key 不要設密碼,每當 SSL 伺服器程式重新啟動時就會去讀憑證和 Private Key 這時就會再問一次密碼,這樣每次重開機時都要停下來等鍵盤輸入密碼會很麻煩。
用 Server 的 Private Key 填寫憑證申請書
# openssl req -new -key /etc/ssl/private/myserver.key.pem -out /tmp/myserver.req.pem
使用 ROOT CA 來簽發 Server 的憑證,設 730 天 2 年
# openssl x509
-req -days 730 -sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_req
-CA /etc/ssl/certs/myroot.crt.pem -CAkey
/etc/ssl/private/myroot.key.pem -CAserial /etc/ssl/myroot.srl
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:GnuPG加密
下一篇:TCP wrapper 概述說明
- FreeBSD Evolution gnupg 2009-05-13
- OB下使用key登录 2009-05-13
- FreeBSD密匙对让putty(ssh)自动登录 2009-05-13
- 用FreeBSD搭建下载专用机(5) — 安装mldonkey 2009-05-13
- freebsd安装PHP+MYSQL+APACHE(非ports) 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
