CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
好了,开始介绍一下Linux上CA给用户办法证书的大致过程吧:
首先用户自己先创建私钥和证书请求
#openssl genrsa 2038 > my.key
(生成一个私钥)
#openssl req -new -key my.key -out my.csr
(根据密钥产生一个证书请求)
接着,CA创建私钥,
#cd /etc/pki/CA/private/
#openssl genrsa 2048 > cakey.pem
CA给自己颁发证书(前面说过CA自己也需要一个证书)
在/etc/pki/CA下创建一个目录和两个文件(这三个必须创建出来)
编辑serial,在里面写一个值,但是不要太大偶!
(注意一下,这个时候indet.txt文件是空的)
修改/etc/pki/tls/openssl.cnf这个文件,更改里面的dir.因为它默认的是../../CA相对路径。
好了,现在CA可以给用户颁发证书了
#openssl ca -in /myca/my.csr -out /myca/my.crt
查看文件的变化,发现了没,原来的20变成了21,而且index.txt文件里面现在已经有内容了。
查询一下用户自己证书的信息
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。
阅读(3865) | 评论(0) | 转发(0) |