Chinaunix首页 | 论坛 | 博客
  • 博客访问: 163878
  • 博文数量: 37
  • 博客积分: 2218
  • 博客等级: 大尉
  • 技术积分: 315
  • 用 户 组: 普通用户
  • 注册时间: 2010-02-04 23:35
文章分类

全部博文(37)

文章存档

2012年(1)

2011年(5)

2010年(31)

分类: LINUX

2010-03-23 14:07:39

    CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
    CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
  如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
  如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
   好了,开始介绍一下Linux上CA给用户办法证书的大致过程吧:
 
首先用户自己先创建私钥和证书请求
#openssl  genrsa  2038 > my.key
(生成一个私钥)
#openssl  req  -new  -key my.key  -out  my.csr
(根据密钥产生一个证书请求)
 
 
接着,CA创建私钥,
#cd   /etc/pki/CA/private/
#openssl  genrsa  2048 > cakey.pem
 
CA给自己颁发证书(前面说过CA自己也需要一个证书)
 
/etc/pki/CA下创建一个目录和两个文件(这三个必须创建出来)
 
 
编辑serial,在里面写一个值,但是不要太大偶!
(注意一下,这个时候indet.txt文件是空的)
 
修改/etc/pki/tls/openssl.cnf这个文件,更改里面的dir.因为它默认的是../../CA相对路径。
 
好了,现在CA可以给用户颁发证书了
#openssl  ca -in  /myca/my.csr  -out  /myca/my.crt
 
 
 
查看文件的变化,发现了没,原来的20变成了21,而且index.txt文件里面现在已经有内容了。
 
 
 
查询一下用户自己证书的信息
 
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
  证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

    
阅读(3849) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~