一、什么是CA

创新互联公司长期为上千客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为西塞山企业提供专业的网站设计制作、成都网站建设，西塞山网站改版等技术服务。拥有十载丰富建站经验和众多成功案例,为您定制开发。

    CA就像工商局，CA证书就是给商户颁发的经营许可证，是互联网上颁发给各个站点的身份认证牌照。例如，我们输入www.xxx.com后出现的网站，我们怎么知道它是不是安全的？怎么知道它就是我们要登录的网站呢？如果它有CA证书，并且我们电脑里存了它的证书，那么就可以判断它是安全可靠的。

二、CA证书里有哪些内容？

    x509标准定义了CA证书的内容，以下是三个版本的比较

   

三、如何获取CA证书

    既然CA证书对于网上公共节点这么重要，那么怎么获得它呢？

    要获得CA证书像CA注册机构申请就可以了，但是要花钱，一年也没多少钱，普通用户不需要CA,只有     那些需要得到网络社会认可的网站，站点、平台才需要CA认证。

    但是有没有不花钱的免费CA呢？

    我们可以自己创建一个CA,然后自己给自己颁发证书。但是这样做有什么意义呢？对于小公司和普通     用户来说当然没多大意义了，但是有牛逼的公司就敢这么干，例如垄断企业，他自己给自己颁发证     书，你信也好不信也好，反正它垄断了资源，你不信也没办法。

    例如 12306，我们打开它的时候提示证书不受信任对不对？它就是自己给自己颁发了证书，它说：“你爱信不信，反正没有第二家卖火车票的网站了”

四、学习12306建立自己的CA

    在linux中我们要使用OpenSSL安装包来实现建立私有CA

    步骤：

    1.生成私有密钥

          私钥用于签发证书时，向证书添加数字签名时使用

    2.生成自签署证书

          每个通信方都导入此证书至“受信任的证书颁发机构”

    3.配置文件

      /etc/pki/tls/openssl.cnf

    4.工作目录

      /etc/pki/CA/

 

五、建立CA详细步骤

    1、生成私有密钥到/etc/pki/CA/private

    

    2、生成自签证书到/etc/pki/CA/

      假如我们的公司在中国郑州叫alibaba,公司的号码123456，网站叫www.alibaba.com,邮箱是wuhf123@126.com

   

    3、提供必要的辅助文件以便将来别人向我申请证书时或撤销证书时，我可以自动记录他们的信息

       （1）在/etc/pki/CA/下创建index.txt文件

      

        （2）创建/etc/pki/CA/serial文件，并向其内添加一个开始序号

---

六、向CA申请证书

    假如我们的公司叫wuhfnet,网站叫www.wuhfnet.com

    1.生成自己的私钥

    

    2.生成证书签署请求文件

     openssl req -new -key .. -out .. -days ..

     证书签署请求里面的选项除了common name一项填写自己的网站外，其余的必须与CA签发机构一致

    3.把请求文件发送给CA

     用优盘拷过去或者邮件发过去，就像你送《工商许可能申请》到工商局一样。

---

七、CA签发证书

    1.验证请求者身份信息

      就像工商局接到申请，然后去你公司审查你的资格一样

    2.签署证书

   openssl ca -in .. -out .. -days ..

    3.把签好的证书发还给请求者

---

八、吊销证书

    1、获取吊销证书的序列号

    

    2、吊销证书

    openssl ca -revoke /PATH/FROM/CRT-FILE

  

    3、生成吊销编号

    echo 01 > /etc/pki/CA/crlnumber

分享名称：使用OpenSSL构建私有CA
转载来于：http://scyingshan.cn/article/gjipjo.html