实验平台RedHat5.8,已安装openssl
查看系统书否已安装openss执行命令“rpm –q openssl”
rpm –q openssl
Openssl本身是一种ssl的开源方式用以实现https的数据加密传输,但openssl的功能绝不仅限于此,openssl提供了两个重要的库:一个是libcrypto,被称为通用加密库,提供了各种加密函数,任何程序都可以调用此库来实现加密功能;另一个是libssl,是一种基于会话的、实现了身份认证、数据机密性和会话完整性的TLS/SSL协议库。另外opssl还提供了一个命令行工具就叫openssl,是一个多用途的命令行工具,提供了很多子命令,调用不同的子命令可以实现不同的功能,诸如单向加密、对称加密和非对称加密、生成密钥对等。openssl本身并没有提供类似“--help”之类的帮助命令,输入openssl后跟任意一个openssl不能识别的命令就会显示输出所有子命令,比如输入“openssl ?”就会看到所有子命令。
下面介绍使用openssl模拟证书颁发机构构建私有CA。
第一步首先先需要编辑配置文件/etc/pki/tls/openssl.cnf。
vim /etc/pki/tls/openssl.cnf
将其中的“[ CA_default ]”段中定义的CA工作目录由相对路径“../../CA”改为绝对路径“/etc/pki/CA”,证书默认有效期等信息根据具体应用环境更改。
在[ req ]段设置密钥默认长度和加密算法等
在[ req_distinguished_name ]段中设置一下默认的国家代码、所属省份、市区、公司名称、所属部门等信息。
其他信息根据需要证书的应用更改。