Chinaunix首页 | 论坛 | 博客
  • 博客访问: 8822900
  • 博文数量: 29
  • 博客积分: 4010
  • 博客等级: 上校
  • 技术积分: 797
  • 用 户 组: 普通用户
  • 注册时间: 2007-09-19 14:12
文章分类

全部博文(29)

文章存档

2008年(29)

我的朋友

分类: LINUX

2008-06-03 09:31:53


我们首先需要装上openssl(现在的Linux基本自带,没有的下一个装上)。

    1)然后,找到openssl.cnf文件,这个文件保存着对openssl证书生成的默认值,她的位置一般为:
    Debian: /etc/ssl/openssl.cnf
    RedHat 7.x+: /usr/share/ssl/openssl.cnf
    用编辑器打开,变量名目繁多,比较有用的有
    "default_days",证书失效的天数,默认一般为365天,改为3650,这样十年才过期:)。
    "default_bits",密钥长度,默认为1024,你可以改为2048,更安全,当然速度也更慢……
    "req_distinguished_name",默认的信息设置,如果你和我一样闲每次去生成密钥的时候去填的麻烦,就改之。

    2)建一个目录来放你的CA,我们这里用/root/ca,记的把他的权限设置为700,你不希望其他用户可以看到你的私钥吧。

    3)找到"CA.sh"脚本的位置,在不同系统上稍有不同
    Debian: /usr/lib/ssl/misc/CA.sh
    RedHat 7.x+: /usr/share/ssl/misc/CA
    编辑她,把DAYS="-days 365"的365改成你希望的数值,注意要比openssl.cnf中的"default_days"要大,当时也不要太大,一般为15年到20年就好了。

    4)生成证书
    ~/ca$/usr/lib/ssl/misc/CA.sh -newca ;生成一个待签名的根证书,用她来给其他证书进行签名认证。默认生成在demoCA目录下的cacert.pem文件(在openssl.cnf中的 CA_default子段设置)下。输入的密码为用来生成其他证书的密码。-sign的时候用。
    ~/ca$openssl ca -gencrl -out crl.pem 生成一个与根证书相对应的crl文件
    然后开始生成给主机用的证书
    ~/ca$/usr/lib/ssl/misc/CA.sh -newreq 生成待签名认证的证书,默认名字为newreq.pem,输入的密码用在填些/etc/ipsec.secrets中。
    ~/ca$/usr/lib/ssl/misc/CA.sh -sign 对证书进行签名认证,默认名字为newcert.pem
    ~/ca$/usr/lib/ssl/misc/CA.sh -verify 认证一下
    然后重命名文件
    ~ca$mv newcert.pem melin.pem
    ~ca$mv newreq.pem melin.key //别搞反了,小的那个文件是key:),另外如果要生成的主机证书,填入的信息相同可能出错
    用同样的方法生成right.pem和right.key文件。这样我们就有了同样的根证书生成的两个证书文件。
    把文件拷贝到相应的位置:

    在Left主机主机上
    melin:~/ca#cp melin.key /etc/ipsec.d/private
    melin:~/ca#cp melin.pem /etc/ipsec.d/certs
    melin:~/ca#cp demoCA/cacert.pem /etc/ipsec.d/cacerts
    melin:~/ca#cp crl.pem /etc/ipsec.d/crls/crl.pem
    用安全的渠道(scp或软盘,别用ftp)把一下文件拷贝到right上
    melin.pem
    right.key
    right.pem
    demoCA/cacert.pem
    crl.pem
    也拷贝到正确的地方
    melin#cp right.key /etc/ipsec.d/private
    melin#cp right.pem /etc/ipsec.d/certs
    melin#cp melin.pem /etc/ipsec.d/certs
    melin#cp crl.pem /etc/ipsec.d/crls
    melin#cp cacert.pem /etc/ipsec.d/cacerts/cacert.pem
阅读(3770) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~