摘要:
本文是模拟 CA (Certification Authorization) 机构颁发安全认证,之后配置 https 并成功实现客户端访问的过程。
==============================
本文目录
==============================
创建私有 CA
-------- 1 实验拓扑
-------- 2 Web 服务器
-------- 3 CA 服务器
-------- 4 启动 httpd
-------- 5 测试
==============================
创建私有 CA
csr - certificate signing request
crt - certificate, X.509 的证书文件,一般以 .crt 结尾
私钥 - key
公钥 - pem
隐私增强邮件 (PEM, Privacy Enhanced Mail) 编码机制
1 实验拓扑
192.168.1.60 el60 Web Server
192.168.1.61 el61 CA Server
2 Web 服务器
安装 mod_ssl
yum -y install httpd mod_ssl
为 httpd 创建私钥
cd /etc/pki/tls/private
(umask 066; openssl genrsa -out httpd.key 2048)
生成 httpd 签证请求
openssl req -new -key httpd.key -out httpd.csr
将 httpd 签证请求发送给 CA
scp httpd.csr 192.168.1.61:/etc/pki/CA/private
3 CA 服务器
设定起始序号,并生成索引文件
cd /etc/pki/CA
echo 00 > serial
touch index.txt
为 CA 服务器创建私钥
cd private
(umask 066;openssl genrsa -out cakey.pem 4096)
CA 服务器自签证书
openssl req -new -x509 -days 3650 -key cakey.pem -out ../cacert.pem
为 web 服务器上的 httpd 签署证书
openssl ca -days 365 -in httpd.csr -out ../certs/httpd.crt
为 web 服务器上的 httpd 发放证书
scp ../certs/httpd.crt 192.168.1.60:/etc/pki/tls/certs
4 启动 httpd
sed -i 's/localhost/httpd/' /etc/httpd/conf.d/ssl.conf
service httpd start
5 测试
网友评论