【任务描述】
雅鹿公司的文件使用OpenSSL实现CA认证,电商专员小王现在需要对该过程进行详细了解。请帮助小王完成这一任务。
【任务分析】
使用OpenSSL实现CA证书的搭建。
【知识准备】
OpenSSL是在Linux/Windows平台下,开放源代码的、实现SSL协议及相关加密技术的软件包。
【任务实施】
(1)首先准备3个虚拟机,它们分别表示根CA机构、子CA机构和证书申请用户。实验环境的拓扑结构如图5-5所示。
图5-5 实验环境的拓扑结构
用户向子CA机构申请证书,子CA机构向根CA机构申请授权,根CA机构是如何取得证书的呢?答案是根CA机构自己给自己颁发证书。
(2)OpenSSL中关于CA的配置。
实验环境中包含3个主机,其中两个是作为CA机构存在的,所以创建所需要的文件的时候,主机A和主机B都需要创建。如果不提前创建这两个文件,那么在生成证书的过程中会出现错误。
(3)构造根CA。
因为没有任何机构能够给根CA机构颁发证书,所以根CA机构只能自己给自己颁发证书。(www.xing528.com)
首先生成私钥文件,私钥文件是非常重要的文件,除了自己本身以外,其他任何人都不能取得,所以在生成私钥文件的同时最好修改该文件的权限,并且采用加密的形式生成。
(4)生成自签名证书。
私钥文件是非常重要的文件,除了自己本身以外,其他任何人都不能取得。所以在生成私钥文件的同时最好修改该文件的权限,并且采用加密的形式进行生成。
(5)颁发证书。
颁发证书可分成两个环节,分别是子CA机构向根CA机构申请授权和普通用户向子CA机构申请证书。
主机A在需要使用证书的主机上生成证书请求,首先在主机B上生成私钥,这一个过程与前面根CA机构生成私钥的过程是一致的。
(6)利用私钥文件,生成证书申请文件。
证书存放位置(即证书存放路径)如图5-6所示。
(7)吊销证书
在实际的使用过程中,有很多这样的实例。例如,在使用浏览器访问淘宝的时候,就可以查看淘宝的证书吊销列表,如图5-7所示。
图5-6 证书存放位置
图5-7 证书吊销列表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。