如何实现Linux中的CA认证
|
副标题[/!--empirenews.page--] 我们知道,当客户端与服务器端建立会话之前,首先是客户端发送请求,然后进行TPC/IP的三次握手,接着客户端与服务器端建立ssl会话。 会话过程: A --> 服务器端 B --> 客户端 第一步:AB双方商量使用什么加密算法,怎么加密等等。 第二步:A发送证书给B,为了使B相信他。 第三步:B相信了,就生成对称密钥,将请求页面发送给A。 最后,A使用B发送的密钥加密后,将请求回应给B。 由于B要验证A的身份,因此,这里引入了第三方权威颁发机构,即CA,可以给A发证书。而B是相信CA的,因此,B拥有CA的证书。 则,A生成一对公钥,发送给CA进行签署(可以理解为盖章)得到证书,然后返回给自己,并且配置服务器,使之能使用证书。而B收到A的证书后,使用保存在主机上的CA证书去验证。 接下来,我们就将实现私有CA的认证。 准备工作: 两台主机,一个做CA(172.16.13.1),一个做web服务器端(172.16.13.2)。 [注--172.16.13.2主机必须配置完成web服务器] 步骤: 一、CA证书的制作(CA的主机上) 1、查看是否安装了openssl软件 # rpm -qa openssl 2、生成自签证书 【在/etc/pki/CA目录下完成】 (1)生成私钥
(2)生成自签证书 //由于生成证书是需要填写一些国家,省份等信息。这里将这些信息直接写入其默认配置文件中,以后就不用再填写了。 【编辑/etc/pki/tls/openssl.cnf,】找到大约136行左右:
【生成自签证书】
//要想将CA作为私有CA使用,则还需要在/etc/pki/tls/openssl.cnf文件中修改默认路径: 并且将CA工作时所需的目录创建出来。
由此,CA证书便创建完成 (编辑:佛山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
