Openssl建立CA中心的实验配置_第1页
Openssl建立CA中心的实验配置_第2页
Openssl建立CA中心的实验配置_第3页
Openssl建立CA中心的实验配置_第4页
Openssl建立CA中心的实验配置_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

openssl建立CA中心的实验配置wujunfeng@163.com整理汇总标红的文字(如有错误,可发邮件告之我).key格式:私有的密钥.crt格式:证书文件,certificate的缩写.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificatesigningrequest缩写.crl格式:证书吊销列表,CertificateRevocationList的缩写.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式常用证书协议x509v3:IETF的证书标准x.500:目录的标准SCEP:简单证书申请协议,用http来进行申请,数据有PKCS#7封装,数据其实格式也是PKCS#10的PKCS#7:是封装数据的标准,可以放置证书和一些请求信息PKCS#10:用于离线证书申请的证书申请的数据格式,注意数据包是使用PKCS#7封装这个数据PKCS#12:用于一个单一文件中交换公共和私有对象,就是公钥,私钥和证书,这些信息进行打包,加密放在存储目录中,CISCO放在NVRAM中,用户可以导出,以防证书服务器挂掉可以进行相应恢复。思科是.p12,微软是.pfx证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书。对于申请证书的用户:在生成证书之前,一般会有一个私钥,然后用私钥生成证书请求,再利用证书服务器的根证来签发证书。本例中CA中心:生成私钥my-ca.key一〉通过CA私钥来生成自签名证书my-ca.crt邮件服务器:即需要申请证书的用户,在自己的计算机中生成一个证书 签名请求(certificatesigningrequest(CSR))文件,CSR包括自己的公钥,将其上载到CA中心,由CA中心用自己的私钥把CSR文件签名生成证书。生成私钥station20.key一〉生成证书签名请求dovecot.csr(含有邮件服务器的公钥信息)一〉上传到CA中心,用CA证书和CA私钥为csr文件签名,生成dovecot.crt证书。关键命令为opensslca-indovecot.csr-outdovecot.crt-certmy-ca.crt-keyfilemy-ca.key—〉再把CA中心上的dovecot.crt证书下载回邮件服务器⑶邮件客户端:不需要申请证书,只需要信任证书。把CA中心的my-ca.crt导入到信任列表中实验用了三台机:

CA中心:(54)mailserver:(0)mailclient:(9)实验基于RedHatEnterpriseLinuxserver5update4版一.CA中心(:54)的设置[root@server1tls]#pwd/etc/pki/tls[root@server1tls]#lscert.pemcertsmiscfprivate[root@server1tls]#rpm-qa|grepopensslopenssl-0.9.8e-12.el5##linux下的ssl是由openssl提供的。 开始配置f[root@server1tls]#vimf[CA_default]dircertscrl_dirdatabasenew_certs_dircertificateserialcrlnumbercrlprivate_keyRANDFILE=/etc/pki/CA=$dir/certs=$dir/crl=$dir/index.txt=$dir/newcerts=$dir/my-ca.crt=$dir/serial 开始配置f[root@server1tls]#vimf[CA_default]dircertscrl_dirdatabasenew_certs_dircertificateserialcrlnumbercrlprivate_keyRANDFILE=/etc/pki/CA=$dir/certs=$dir/crl=$dir/index.txt=$dir/newcerts=$dir/my-ca.crt=$dir/serial=$dir/crlnumber=$dir/my-ca.crl#CA存放的路径#存放签名后的证书#证书过期列表,存放过期证书#证书颁发、吊销的信息#证书副本(吊销凭证)#CA证书(任何人都可以拥有的)#序列号(每作一次签名,序列号就增加1)#吊销序列号#吊销证书名单列表=$dir/private/my-ca.key#Theprivatekey=$dir/private/.randx509_extensions=usr_certdefault_days=365default_crl_days=30defaultmd=sha1preserve =no[policy_match]countryNamestateOrProvinceNameorganizationNameorganizationalUnitNamecommonNameemailAddress=match=match=match=optional=supplied=optionalprivaterandomnumberfileTheextentionstoaddtothecert#证书有效期#crl更新时间whichmdtouse.keeppassedDNordering#国家代码必须完全匹配##optional可以不一样#代表唯一身份,必须不匹配[req_distinguished_name]countryNamecountryName_default=CountryName(2lettercode)=CN [req_distinguished_name]countryNamecountryName_default=CountryName(2lettercode)=CN #国家代码countryName_mincountryName_mincountryName_maxstateOrProvinceNamestateOrProvinceNamedefaultlocalityNamelocalityName_defaultstateOrProvinceNamestateOrProvinceNamedefaultlocalityNamelocalityName_anizationNanizationName_default=Hubei #洲或省=Wuhan #城市=Wuhan #城市=OrganizationName(eg,company)=Example,Inc. #组织##f配置完成[root@server1tls]#cd../CA/[root@server1CA]#lsprivate[root@server1CA]#mkdir{certs,newcerts,crl} #创建刚才定义的那几个目录[root@server1CA]#lscertscrlnewcertsprivate[root@server1CA]#echo00>serial;touchindex.txt #分配一个开始序列号并创建index.txt[root@server1CA]#echo00>crlnumber #同上 3开始生成CA中心自己的私钥[root@server1CA]#(umask077;opensslgenrsa-outprivate/my-ca.key-des32048)GeneratingRSAprivatekey,2048bitlongmodulus +++ +++eis65537(0x10001)Enterpassphraseforprivate/my-ca.key:redhat #输入私钥密码Verifying-Enterpassphraseforprivate/my-ca.key:redhat #确认输入 3通过CA私钥来生成CA证书:[root@server1CA]#opensslreq-new-x509-keyprivate/my-ca.key-days365>my-ca.crtEnterpassphraseforprivate/my-ca.key:Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.CountryName(2lettercode)[CN]:StateorProvinceName(fullname)[Hubei]:LocalityName(eg,city)[Wuhan]:OrganizationName(eg,company)[Example,Inc.]:OrganizationalUnitName(eg,section)[]:CommonName(eg,yournameoryourserver'shostname)[]:EmailAddress[]:##CA中心已经搭完了,,下面开始用服务来验证用一台机搭建mail服务器(:0)[root@station20~]#yuminstallydovecotpostfixsystem-switch-mail[root@station20~]#vim/etc/postfix/main.cfinet_interfaces=all[root@station20~]#vim/etc/dovecot.confprotocols=imapspop3s[root@station20~]#servicepostfixrestart[root@station20~]#servicedovecotrestart 3生成邮件服务器的私钥[root@station20~]#opensslgenrsa1024>station20.keyGeneratingRSAprivatekey,1024bitlongmodulus ++++++ ++++++eis65537(0x10001)[root@station20~]#lsanaconda-ks.cfgDesktopinstall.loginstall.log.syslogstation20.key 3通过邮件服务器的私钥生成一个证书请求文件.[root@station20~]#opensslreq-new-keystation20.key-outdovecot.csrYouareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.CountryName(2lettercode)[GB]:CNStateorProvinceName(fullname)[Berkshire]:HubeiLocalityName(eg,city)[Newbury]:WuhanOrganizationName(eg,company)[MyCompanyLtd]:Example,Inc.OrganizationalUnitName(eg,section)[]: ###以上填写均要跟CA中心的一致CommonName(eg,yournameoryourserver'shostname)[]:EmailAddress[]:Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:Anoptionalcompanyname[]: 3把邮件服务器的证书请求文件发给CA中心[root@station20~]#scpdovecot.csr54:/rootroot@54'spassword:

dovecot.csr100%647 0.6KB/s 00:00dovecot.csr ->CA中心签名[注意:现在在CA中心(:54)操作了][root@server1~]#opensslca-indovecot.csr-outdovecot.crtUsingconfigurationfrom/etc/pki/tls/fEnterpassphrasefor/etc/pki/CA/private/my-ca.key:CheckthattherequestmatchesthesignatureSignatureokCertificateDetails:SerialNumber:0(0x0)ValidityNotBefore:Sep312:06:362010GMTNotAfter:Sep312:06:362011GMTSubject:=CN=Hubei=CN=Hubei=Example,Inc.=stateOrProvinceNameorganizationNamecommonNameX509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeComment:OpenSSLGeneratedCertificateX509v3SubjectKeyIdentifier:C8:F2:8B:F3:21:E4:AD:65:FC:C6:2A:E2:AB:26:8A:8D:57:A2:3A:84X509v3AuthorityKeyIdentifier:keyid:5D:81:EC:7B:76:E0:9E:34:A9:99:05:0F:23:91:B9:EB:64:A6:37:05CertificateistobecertifieduntilSep312:06:362011GMT(365days)Signthecertificate?[y/n]:y1outof1certificaterequestscertified,commit?[y/n]yWriteoutdatabasewith1newentriesDataBaseUpdated ->生成后传回给mailserver(:0)[root@server1~]#cp/etc/pki/CA/my-ca.crtpub/[root@server1~]#cpdovecot.crtpub/[root@server1~]#cdpub/[root@server1pub]#lsdovecot.crtmy-ca.crt[root@server1pub]#scp*0:/rootroot@0'spassword:dovecot.crt 100%3699 3.6KB/s 00:00my-ca.crt 100%1472 1.4KB/s 00:003回到邮件服务器上设置/etc/dovecot.conf[root@station20~]#Isanaconda-ks.cfgdovecot.crtinstall.log my-ca.crtDesktop dovecot.csrinstall.log.syslogstation20.key[root@station20~]#cpstation20.key/etc/pki/tls/private/dovecot.pem[root@station20~]#cpdovecot.crt/etc/pki/tls/certs/dovecot.pem[root@station20~]#vim/etc/dovecot.confssl_cert_file=/etc/pki/tls/certs/dovecot.pemssl_key_file=/etc/pki/tls/private/dovecot.pem下面客户端(:9开始验证 安装雷鸟.(当然条件好的话咱可以使用win下的outlook或foxmail)[root^station!9thunderbird]#rpm-ivh*Preparing... ########################################### [100%]l:launchmail ########################################### [5。%]2:thunderbird ########################################### [103%][root^station!9thunderbird]#Islaurichmail-4.0.0-1.el5.noarch.rpmthunderbird-2-3.el5.i386.rpm新建一个账号使用pop3,等下还要修改为pop3s的®POPOIMAPEnterOnenameofyourincomingserver(forexample,"mail.example.nef).IncomingServer:其他的猛点击下一步就可以了然后再设置为995的pop3s

0userl@statlon20.examp...ServerType:POPMailServerCopies&FoldersServerName: Port:995 Default:995Composition&AddressingUserName:userlDiskSpace ■ReturnReceipts_>cLUrILyDcLLIrlUSSecurityOutgoingServer(SMTP)Usesecureconnection:ONeverOTLS,ifavailableOILS@SSL因为CA证书是权威机构,所以mailclient需要导入CA权威证书,现在我从mailserver传送CA证书给mailclient.[root@station20~]#scpmy-ca.crt9:/root/root@9'spassword:my-ca.crt 100%1472 1.4KB/s 00:00我们可以先试着接收一下邮件看效果先WebsiteCertTHedbyanUnknownAuthority/\Unabletoverifytineidentityof5asatrustedsite.Possiblereasonsf口「thiserror:-沱urbrowserdoesnotrecognizetheCertificateAuthoritythatissuedthesite'scertificate.-Thesite'scertificateisincompleteduetoaservermiscanfiguration.-Vbuareconnectedtoasitepretendingtobe,possiblytoobtainyourconfiidenbialirfornnation.Pleasenotifythesite'swebmasteraboutthisproblem.Beforeacceptingthiscertificate,youshouldexaminethissite'scertificatecarefully.AreyouwillingtotoacceptthiscertificateforthepurposeofidentifyingtheWebsite?ExamineCertificate..JAcceptUliscertificatepemnanently「‘AcceptthiscertificatetemporarilyforthissessionQDanotacceptUliscertificateanddonotconnecttottiisWebsiteCancel OK看吧,告诉我这是一个不受信任的证书,问you要不要信任,信不信由你,这个在实际环境挺险的,所以我要做下一步,把咱的权威CA导入到信任列表中,成为受信任的权威合法机构.雷鸟导入CA证书

点import导入点啥都信它.TbuhavebeenaskedtotrustanewCertificateAuthority(CA).Doyouwanttotrust"5"forthefollowingpurposes?口TrustUiiisCAtoidentifywebsites.0TrustUiiisCAtoidentifyemailusers.TrustthisCAtoidentifysoftwaredevelopers.TrustthisCAtoidentifysoftwaredevelopers.BeforetrustingthisCAforanypurpose,youshouldexamineitscertificateanditspolicyandp

人人文库> 全部分类> 行业资料 > 机电工程

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论