openssl加密
用openssl可以随机生成随机数,
可以用于生成私钥文件,1024位的,默认用base64编码
上面是不加密的,私钥用对称加密
有时候要用到私钥,不想输入口令,可以把口令去掉,生成新的文件
公钥用私钥推出
搭建CA
实验:向CA申请证书
1.建立根CA rootCA
1)生成私钥
2)自签名证书
2.用户或服务器
1)生成私钥
2)生成证书申请文件
3)将申请文件发给CA
3.CA 颁发证书,即用CA私钥签名
4.把CA签名的证书发给客户端或服务器
5.在应用软件使用证书。目前不了解
*****
在CA 上
1.生成根CA私钥文件,CA重要配置文件在/etc/pki/tls/openssl.cnf,严格规定在这里。
在同一文件里,有效期,等
commonName必须和域名一样,比如www.taobao.com
操作:
1.
创建新的证书
单独同cat查看新生成的证书是base64编码的,
想查看详细的证书内容
也可以单独看
也可以用sz 发送到Windows里以图形方式查看
也可以导入本机证书列表中,
Windows10的证书,在运行敲certmgr.msc
**
2.客户端从CA申请证书
客户端申请证书给某个服务用的
这个文件要传给CA ,申请证书的文件app.csr
开始审核用户信息,并颁发证书
创建这个文件,颁发证书时,会自动把颁发证书后的结果,编号等记录到这个文件中
创建serial文件