ca证书 linux 导入_Linux CA证书服务器搭建
Lab3.1
準備環(huán)境:
安裝openssl工具
yum install –y
openssl
修改/etc/pki/tls/openssl.cnf將
dir
= ../../CA修改為/etc/pki/CA --指定工作的根目錄(這里只要修改成/etc/pki/CA就可以了,也可以使用相對路徑)
certificate =
$dir/newcerts
修改為$dir/my-ca.crt --證書文件所在的位置(公鑰)
crl =
$dir/crl.pem修改為$dir/my-ca.crl
--證書吊銷列表
private_key =
$dir/private/cakey.pem 修改為$dir/private/my-ca.key
修改生成證書時的默認值
修改為
在/etc/pki/CA文件夾中創(chuàng)建/etc/pki/tls/openssl.cnf中定義的目錄
mkdir
/etc/pki/CA/certs crl newcerts
創(chuàng)建索引文件和序列號文件
產(chǎn)生私鑰并修改權(quán)限為600
touch
/etc/pki/CA/index.txt
echo
01 > /etc/pki/CA/serial
lab3.2
安裝dovecot
yum
install –y dovecot
修改/etc/dovecot.conf配置文件修改為使用加密的協(xié)議
將protocols = pop pop3s imap imaps修改為
protocols=imaps(將前面的注釋取消)
重啟dovecot
service dovecot restart
復(fù)制出創(chuàng)建證書的腳本
cp
/usr/share/doc/dovecot-version/examples/mkcert.sh
編輯腳本文件將默認的
OPENSSL=${OPENSSL-openssl}
SSLDIR=${SSLDIR-/etc/pki/dovecot}
OPENSSLCONFIG=${OPENSSLCONFIG-/etc/pki/dovecot/dovecot-openssl.cnf}
修改為
OPENSSL=/usr/bin/openssl
SSLDIR=/etc/pki/dovecot
OPENSSLCONFIG=/etc/pki/tls/openssl.cnf
刪除公鑰和私鑰
rm
/etc/pki/dovecot/certs/dovecot.pem
/etc/pki/dovecot/proivate
然后執(zhí)行創(chuàng)建證書的腳本
sh
mkcert.sh
重啟dovecot服務(wù),使配置生效
service dovecot restart
利用mutt測試(普通用戶,root用戶不成功)
創(chuàng)建.mutt的配置文件的文件夾
mkdir
.mutt
編輯mutt配置文件
vim
muttrc
set
folder=imaps://cacti.example.com
set
spoolfile=imaps://cacti.example.com
set
imap_force_ssl=yes
然后使用mutt連接,會提示證書信息,按o
Lab3.3
利用CA服務(wù)器生成一個新的RSA密鑰對,并修改權(quán)限為600
(umask
077;openssl genrsa 1024 >
dovecot.key)
生成一個證書請求文件
(umask
077;openssl req –new –key dovecot.key –out dovecot.csr)
查看證書
openssl req –in dovecot.csr –noout –text
在CA服務(wù)器上簽署證書
openssl ca –in dovecot.csr –out dovecot.crt
在/etc/pki/CA/index.txt中查看證書的信息
cat
/etc/pki/CA/index.txt
V表示可用的R表示吊銷的
將生成的公鑰和私鑰復(fù)制到dovecot的證書目錄下
cp
~/dovecot.key /etc/pki/dovecot/private/dovecot.pem
cp
~/dovecot.crt /etc/pki/dovecot/certs/dovecot.pem
重啟dovecot服務(wù)
Lab3.4
如果不提示證書需要將/etc/pki/CA/my-ca.crt復(fù)制到非root賬戶的~/.mutt/下
(如果提示沒權(quán)限,可以使用root復(fù)制)
同時在~/.mutt/muttrc中添加
set
certificate_file=~/.mutt/my-ca.crt
Lab3.5
在火狐瀏覽器中導(dǎo)入CA證書
選擇編輯—首選項—高級—加密—查看證書—導(dǎo)入
導(dǎo)入CA證書(在/etc/pki/CA下)
查看證書序列號和主題
openssl x509 –in /etc/pki/dovecot/certs/dovecot.pem –noout
–serial –subject
現(xiàn)在的/etc/pki/CA/serial已經(jīng)變?yōu)?2
查看/etc/pki/CA/index.txt
狀態(tài)是V
cat
/etc/pki/CA/index.txt
吊銷證書
openssl ca –revoke /etc/pki/CA/newcerts/01.pem
查看/etc/pki/CA/index.txt
狀態(tài)變?yōu)镽
產(chǎn)生吊銷列表
echo
00 > /etc/pki/CA/crlnumber
cd
/etc/pki/CA/crl
openssl ca –gencrl –out my-ca.crl
查看證書吊銷列表
openssl crl –in my-ca.crl –noout –text
將吊銷列表轉(zhuǎn)換成firefox或者是雷鳥可以識別的格式(DER格式)
openssl crl –in my-ca.crl –outform DER –out
my-ca-der.crl
瀏覽器導(dǎo)入吊銷列表
選擇撤銷列表
選擇導(dǎo)入
填寫吊銷列表網(wǎng)絡(luò)訪問路徑
總結(jié)
以上是生活随笔為你收集整理的ca证书 linux 导入_Linux CA证书服务器搭建的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 打折怎么计算原价(打折怎么计算)
- 下一篇: 怀孕时吃润康有什么好处(怀孕吃润康到底好