目的：搭建一個CA服務器并給客戶機授權認證

準備：
?? 1. 一臺linux操作系統（以centos7虛擬機為例）
?? 2. 準備一臺客戶機(centos6虛擬機)
先上一張思維導圖吧。

步驟

一.CA服務器創建。

?? 1. CA服務器我們用centos7來建立，先申請該服務器的私鑰，注意路徑，我們要把文件放在/etc/pki/CA/private下

?? 2. 利用剛剛建立好的私鑰生成自簽名證書，注：CA的證書是自己給自己簽名的。

?? 查看自簽名證書

??導入到windows系統中修改后綴為cer也可以看到詳細信息。

?? 3. 如果是初次搭建CA還要手動建立index文件和serial文件，否則在給客戶機頒發證書時會提示報錯。

?? 4.得到客戶機的證書申請給客戶機頒發證書。

頒發證書后也可以把證書導入到windows改后綴查看，注意要先把CA服務器的證書安裝到系統中才可以看到具體的證書路徑。

?? 5.吊銷證書。

---

二.客戶機申請證書。

?? 1.客戶機首先也要申請自己的私鑰，這里以虛擬機centos6為例，客戶機的路徑可以自己定義，我這里是在/data/app/

?? 2.用剛剛生成的私鑰創建CA證書申請文件。

?? 3.把剛剛生成的CA證書申請文件，發送給CA服務器認證。

CA服務器通過申請認證后，就可以把認證后的證書拿過來使用了。

---

利用shell腳本實現自動創建CA和申請。

一.CA服務器

注:客戶機自動傳過來的CA申請證書會保存在/data/下，只需要腳本后跟文件名就可以了，不用寫后綴。

#!/bin/bash# #*********************************************************** #Autohor: GuoCheng #QQ: 792402658 #Date: 2019-06-20 #FileName: createCA.sh #*********************************************************** set -u set -e way=/etc/pki/CA day=100 name=$1 cd $way#-------------------------定義函數------------------------------- #生成CA自己的私鑰 private(){ (umask 077;openssl genrsa -out private/cakey.pem 4096 ) openssl req -new -x509 -key $way/private/cakey.pem -out $way/cacert.pem -days 3650 <<EOF CN beijing beijing magedu devops ca.magede.com admin@magedu.com root 792402658 EOF echo . } #------------------------------------------------------------------#主程序開始 if [ ! -e $way/index.txt ];thentouch $way/index.txtfi if [ ! -e $way/serial ];thenecho 00 > $way/serialfiif [ ! -e $way/private/cakey.pem ];thenprivatefi #頒發證書 openssl ca -in /data/${name}.csr -out $way/certs/${name}.crt -days $day

二.客戶機

注：客戶機只需要在腳本名后寫入你想申請的CA證書名（不用寫后綴）和CA服務器IP兩個參數就可以看了，注意此腳本不夠完善 順序不要寫反。

#!/bin/bash # #*********************************************************** #Autohor: GuoCheng #QQ: 792402658 #Date: 2019-06-22 #FileName: RequestCA.sh#*********************************************************** set -u set -e way=/data/app hostname=root password=792402658 filename=$1 CAIP=$2 filekey=${filename}.key filecsr=${filename}.csr cd $way#----------------------定義函數------------------------------- key(){ (umask 066;openssl genrsa -out $filekey 1024) openssl req -new -key $filekey -out $filecsr <<EOF CN beijing beijing magedu 37 app.magedu.com app@magedu.com 792402658 root EOF echo . } #--------------------------------------------------------------#生成本機密鑰和CA申請文件 key#把申請文件發送給CA服務器 #spawn scp reboot.sh $user@$ip:/data expect <<EOF set timeout 10 spawn scp $filecsr $hostname@$CAIP:/data expect <<EOF expect {"yes/no" { send "yes\n";exp_continue }"password" { send "$password\n" } }expect eof EOF echo .

總結

以上是生活随笔為你收集整理的CA服务器的搭建和申请证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。