首页 理论教育 用OpenSSL实现CA认证

用OpenSSL实现CA认证

时间:2023-05-30 理论教育 版权反馈
【摘要】:雅鹿公司的文件使用OpenSSL实现CA认证,电商专员小王现在需要对该过程进行详细了解。请帮助小王完成这一任务。使用OpenSSL实现CA证书的搭建。OpenSSL是在Linux/Windows平台下,开放源代码的、实现SSL协议及相关加密技术的软件包。首先准备3个虚拟机,它们分别表示根CA机构、子CA机构和证书申请用户。颁发证书可分成两个环节,分别是子CA机构向根CA机构申请授权和普通用户向子CA机构申请证书。吊销证书在实际的使用过程中,有很多这样的实例。

用OpenSSL实现CA认证

【任务描述】

雅鹿公司的文件使用OpenSSL实现CA认证,电商专员小王现在需要对该过程进行详细了解。请帮助小王完成这一任务。

【任务分析】

使用OpenSSL实现CA证书的搭建。

【知识准备】

OpenSSL是在Linux/Windows平台下,开放源代码的、实现SSL协议及相关加密技术的软件包。

【任务实施】

(1)首先准备3个虚拟机,它们分别表示根CA机构、子CA机构和证书申请用户。实验环境拓扑结构如图5-5所示。

图5-5 实验环境的拓扑结构

用户向子CA机构申请证书,子CA机构向根CA机构申请授权,根CA机构是如何取得证书的呢?答案是根CA机构自己给自己颁发证书。

(2)OpenSSL中关于CA的配置。

实验环境中包含3个主机,其中两个是作为CA机构存在的,所以创建所需要的文件的时候,主机A和主机B都需要创建。如果不提前创建这两个文件,那么在生成证书的过程中会出现错误

(3)构造根CA。

因为没有任何机构能够给根CA机构颁发证书,所以根CA机构只能自己给自己颁发证书。(www.xing528.com)

首先生成私钥文件,私钥文件是非常重要的文件,除了自己本身以外,其他任何人都不能取得,所以在生成私钥文件的同时最好修改该文件的权限,并且采用加密的形式生成。

(4)生成自签名证书。

私钥文件是非常重要的文件,除了自己本身以外,其他任何人都不能取得。所以在生成私钥文件的同时最好修改该文件的权限,并且采用加密的形式进行生成。

(5)颁发证书。

颁发证书可分成两个环节,分别是子CA机构向根CA机构申请授权和普通用户向子CA机构申请证书。

主机A在需要使用证书的主机上生成证书请求,首先在主机B上生成私钥,这一个过程与前面根CA机构生成私钥的过程是一致的。

(6)利用私钥文件,生成证书申请文件。

证书存放位置(即证书存放路径)如图5-6所示。

(7)吊销证书

在实际的使用过程中,有很多这样的实例。例如,在使用浏览器访问淘宝的时候,就可以查看淘宝的证书吊销列表,如图5-7所示。

图5-6 证书存放位置

图5-7 证书吊销列表

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈