Chinaunix首页 | 论坛 | 博客

世事洞明皆学问,人情练达即文章nahuat.blog.chinaunix.net

首页 |  博文目录 |  关于我

nahuat

  • 博客访问: 212855
  • 博文数量: 70
  • 博客积分: 2050
  • 博客等级: 大尉
  • 技术积分: 700
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-15 21:42
文章分类

全部博文(70)

文章存档

2013年(1)

2011年(5)

2010年(3)

2009年(9)

2008年(17)

2007年(6)

2006年(29)

我的朋友
最近访客
推荐博文
相关博文
使用OpenSSL实现证书的管理(转)

分类: 网络与安全

2007-11-27 14:07:49

    目前比较流行的认证服务器之一是OpenSSL认证服务器。OpenSSL项目在Eric Young开发的SSLeay包的基础上,开发一个健壮的、商业等级的、开放源码的工具包用强大的加密算法来实现安全的socket层和传输层安全性,这个项目由全世界的志源者管理和开发OpenSSL工具包和相关的文档[6]。它提供了众多而且复杂的API函数,可惜的是,目前它的文档不全,只能够程序员自已多做工作。它的网址是:。
  1. 为CA创建一个RSA私钥
    2. # openssl genrsa –des3 –out ca.key 1024
    系统提示输入PEM pass pharse,也就是密码。生成ca.key文件,可以将文件的属性改为400,并放在安全的地方。
  2. 利用CA的RSA私钥创建一个自签名的CA证书
    3. 创建一个自签名的证书(Selfsigned certificate)运行req命令,该命令生成一个ca.crt。
    # openssl req –new –x509 –days 3650 –key ca.key –out ca.crt
    然后系统提示输入国家代号、省份名称、城市名称、公司名称、部门名称、你的姓名及Email地址,这样一张自签名的CA证书就制作完成。
  3. 为客户颁发证书
    4. 为客户创建证书,先用genrsa命令生成的私钥,用req命令生成证书签署请求CSR。
    # openssl genrsa –des3 –out client.key 1024
    # openssl req –new –key client.key –out client.csr这里也要输入个人的信息。
    然后用sign.sh签署证书。
    # /sigh.sh client.crt
    这样由CA签发的证书就制作完成。
  4. 撤消证书
    5. 要吊消证书可以使用openssl的ca命令,它可以对证书进行吊消、加进CRL及CRL有关的其它一些处理。
    要吊消证书可以简单地使用以下命令:
    # openssl ca –revoke 证书文件名
    这时数据库被更新证书被标记上吊消的标志,需要生成新的证书吊消列表:
    # openssl ca -gencrl -config /etc/openssl.cnf -out crl/sopac-ca.crl
    证书吊消列表文件要在WEB站点上可以使用,必须将crldays或crlhours和crlexts加到证书中:
    # openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl
  5. 证书的更新
    6. 当用户发送他旧的证书证书或要在原有私钥的基础上建新的证书,所以必须吊消旧的证书然后再签发新的证书。要找到证书,可以用户的DN(区别名)在index.txt文件中查到序列号xx,用cert/.pem做为证书吊消的依据。你必须手动签发证书,因为开始时间和结束时间以便确定新证书的有效性。
    # openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem -startdate [now]  -enddate [previous enddate+365days]
    用正确的时间替换 [now]和[previous enddate+365days]。
  6. 查看证书
    7. # openssl x509 -in cert.pem -noout –text

  数字证书相当于电子身份证,X.509证书是由CCITT X.509国际标准所规定,目前在电子商务飞速发展的今天应用相当的广泛,交易支付过程中,参与各方必须利用认证中心签发的数码证书来证明各自的身份,数字证书可以进行数字签名,支持不可否认性。电子交易中,无论数字时间戳还是数字证书的发放,都不是靠交易的双方自己来完成,而需要设立一个可靠的第三方机构,进行有效、快速、规范化的认证服务。CA(Certfication Authofity)就是这样一个机构,用openssl论证服务器进行证书发放,证书更新,证书撤销,建立自己的CA论证中心,开发费用低,代码健壮,用强大的加密算法来保证信息传输的安全,它将有力地促进我国电子商务的发展。
阅读(1546) | 评论(0) | 转发(0) |
0

上一篇:成员函数作为模板参数

下一篇:在C中嵌入Python

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6