9.openssl ca
用于签名证书请求、生成CRL、维护一个记录已颁发证书和这些证书状态的数据库。
证书请求私用CA的私钥签名之后就是证书。
[root@xuexi tmp]# man ca SYNOPSIS openssl ca [-verbose]
[-config filename]
[-name section] [-gencrl]
[-revoke file]
[-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_CA_compromise time] [-crldays days] [-crlhours hours] [-crlexts section] [-startdate date] [-enddate date]
[-days arg][-md arg] [-policy arg] [-keyfile arg] [-key arg]
[-passin arg]
[-cert file] [-selfsign] [-in file] [-out file]
[-notext] [-outdir dir]
[-infiles]
[-spkac file] [-ss_cert file] [-preserveDN] [-noemailDN]
[-batch]
[-msie_hack] [-extensions section] [-extfile section] [-engine id] [-subj arg] [-utf8] [-multivalue-rdn]
该伪命令的选项太多,分类来解释。
要注意,ca命令是用于签名证书的,所以它所需要的文件除了配置文件外就是私钥文件和证书请求文件,而签名后生成的文件是证书文件,因此使用-in指定的对象是签名文件,-infile是指定多个签名文件,-keyfile是指定私钥文件,-out是指定输出的证书文件。
【CA选项】
-config filename:指定要使用的配置文件,指定后将忽略openssl.cnf中指定的关于ca的配置选项。
-name section:指定使用配置文件中的那个section。指定后将忽略openssl.cnf中的default_ca段。
-in filename:指定要被CA签名的单个证书请求文件。根CA为其他证书签名时使用。
-infiles:该选项只能是最后一个选项,该选项所接的所有参数都被认为是要被签名的证书请求文件,即一次性签名多个请求文件时使用的选项。
-selfsign:使用伪命令ca自签名。需指定私钥和证书请求文件。指定-ss_cert选项时该选项被忽略。
-ss_cert filename:将被CA自签名的单个证书文件。
-out filename:证书的输出文件,同时也会输出到屏幕。不指定时默认输出到stdout。
-outdir dir_name:证书的输出目录。指定该选项时将自动在此目录下生成一个文件名包含16进制serial值的.pem证书文件。
-cert:CA自己的证书文件。
-keyfile filename:指定签名证书请求时的私钥文件,即CA自己的私钥文件。
-key passwd_value:指定私钥的加密密码。
-passin arg:指定密码,什么的密码?
-verbose:打印操作执行时的详细信息
-notext:禁止将证书输出到-out指定的文件中
-days arg:证书有效期限,从创建时刻开始算startdate,有效期结束点为enddate。
-startdate:自指定证书的开始时间,和-enddate一起使用可以推算出证书有效期。
-enddate:自指定证书的结束时间。
-md alg:指定单向加密算法
-policy arg:该选项是配置文件中的section内容,该选项指定了证书信息中的field部分是否需要强制提供还是要强制匹配,或者可提供可不提供。详细的见配置文件说明。
-extensions section:指定当前创建的证书使用配置文件中的哪个section作为扩展属性。
-batch:使用批处理模式,即非交互模式。该模式下不会询问。
-subj arg:取代证书请求中的subject,格式/type0=value0/type1=value1/type2=...
【crl相关】
-gencrl:基于index file中的信息生成crl。
-crldays num:该值为crl距离到期的天数,计算方式是从现在开始到CRL nextUpdate字段中定义的时间距离。
-crlhours num:该值为CRL距离到期的小时数。
-revoke filename:要吊销的证书文件。
配置文件关于ca的部分
其中被标记为必须项的表示配置文件中或者命令行中必须给出该选项及其值。
new_certs_dir:等同于-outdir选项。必须项
certificate:等同于-cert选项,CA自己的证书文件。必须项
private_key:等同于-keyfile选项,签名请求时私钥文件即CA自己的私钥文件。必须项
default_days:等同于-days选项。
default_startdate:等同于-startdate选项。
default_enddate:等同于-enddate选项。
default_crl_hours/default_crl_days:分别等同于-crlhours/-crldays选项。生成CRL时必须项
default_md:等同于-md选项。必须项
database:openssl维护的数据库文件。存放证书条目信息及状态信息。必须项
serial:已颁发证书的序列号(16进制)文件。必须项且该文件中必须存在一个序列值
unique_subject:如果设置为yes,database中的subject列值必须不重复。如果设置为no,允许subject重复。默认是yes,这是为了兼容老版本的Openssl,推荐设置为no。
crlnumber:记录下一个crl序列号(16进制)的文件。该文件必须包含一个有效的crl值。
x509_extensions:等同于-extensions选项。
crl_extensions:等同于-crlexts选项。
policy:等同于-policy选项。必须项
name_opt/cert_opt:证书的展示格式,虽非必须但建议设置为ca_default,若不设置将默认使用老版本的证书格式(不建议如此)。伪命令ca无法直接设置这两个选项,而伪命令x509的-nameopt和-certopt选项可以分别设置。
copy_extensions:决定证书请求中的扩展项如何处理的。如果设置为none或不写该选项,则扩展项被忽略并且不复制到证书中去。如果设置为copy,那么证书请求中已存在而证书中不存在的扩展项将复制到证书中。如果设置为copyall,那么证书请求中所有的扩展项都复制到证书中:此时如果证书中已存在某扩展项,则先删除再复制。该选项的主要作用是允许证书请求为特定的扩展项如subjectAltName提供值。使用该选项前请先查看man ca中的WARNINGS部分。建议一般简单使用时设置为none或不设置。
更多关于ca配置项请看:http://www.cnblogs.com/f-ck-need-u/p/6091027.html
关于ca的自签名和签名的方法请看:http://www.cnblogs.com/f-ck-need-u/p/6091105.html
9.openssl ca的更多相关文章
- openssl CA 自签证书,阿里云配置tomcat https
<一,openssl CA自签发证书> 1,生成私钥 openssl genrsa 1024 > private.key;
- openssl ca(签署和自建CA)
用于签署证书请求.生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库.因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能. 证书请求文件使用CA的私钥签署之 ...
- 搭建自己的CA服务 - OpenSSL CA 实战
当前网络安全事故不断,如何提升系统安全性是一个系统上线之前必须考虑的重点DFx特性之一.在提升系统安全性的方法中, 给每个端口(通道)加上SSL协议是最通用和有效的一种. 使用SSL就必须要有证书,在 ...
- Openssl ca命令
一.简介 ca命令能够签发证书请求文件以及生成CRL列表 二.语法 openssl ca [-verbose] [-config filename] [-name section] [-gencrl] ...
- (13) openssl ca(签署和自建CA)
用于签署证书请求.生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库.因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能. 证书请求文件使用CA的私钥签署之 ...
- Ruby 和 OpenSSL CA 证书的问题
作为一个版本控,总是希望保持电脑中各种软件到最新版本. 最近通过 brew 升级 OpenSSL 和 ruby-build 到最新,尤其是 ruby-build 支持最新的 Ruby 2.2.1,新版 ...
- Openssl CA.pl命令
一.简介 CA.pl是证书操作的友好接口,简化了一些相似的证书创建或管理操作 二.语法 CA.pl [-?] [-h] [-help] [-newcert] [-newreq][-newreq-nod ...
- OpenSSL - 利用OpenSSL自签证书和CA颁发证书
秘钥操作 这个命令会生成一个1024/2048位的密钥,包含私钥和公钥. openssl genrsa -out private.key 1024/2038 ( ...
- openSSL命令、PKI、CA、SSL证书原理
相关学习资料 http://baike.baidu.com/view/7615.htm?fr=aladdin http://www.ibm.com/developerworks/cn/security ...
随机推荐
- IT荐书|10个最“牛叉”的代码注释
下面是 网友针对“你看到过的最好的代码注释是什么样的?”这个问题给出的回答的前10条: 1. // 亲爱的维护者: // 如果你尝试了对这段程序进行‘优化’, // 并认识到这种企图是大错特错,请增加 ...
- day21、模块
模块: 模块,用一砣代码实现了某个功能的代码集合.不同功能,放置在不同模块中,模块就是一个.py文件.避免函数重复写代码.对于相同功能的代码.只需要调用该模块或者该模块里面的函数就可以.增加灵活性,和 ...
- C# HmacMD5 加密
string HmacMD5(string source, string key) { HMACMD5 hmacmd = new HMACMD5(Encoding.Default.GetBytes(k ...
- Activity Intent Flags及Task相关属性
转自http://www.cnblogs.com/lwbqqyumidi/p/3775479.html 今天我们来讲一下Activity的task相关内容. 上次我们讲到Activity的四种启动模式 ...
- 原生js+本地储存登录注册
//简易操作,只能当前页面储存一个username和password. <!DOCTYPE html> <html> <head> <meta charset ...
- c++ 调用模板函数时加template什么意思?
看到这么一句stack_.template Top<ValueType>()->SetObjectRaw(members, (SizeType)memberCount, GetAll ...
- ubuntu16041,安装opencv3.1.0
[非常感谢:http://www.linuxdiyf.com/linux/18482.html] 1.依赖关系: sudo apt-get install build-essentialsudo ap ...
- 在PHP中调用接口
引用:http://zhidao.baidu.com/question/454935450.html&__bd_tkn__=67bd5d3a742a8b244e09a86fb8b824aa95 ...
- 分配和释放 BSTR 的内存
本文档已存档,并且将不进行维护. 分配和释放 BSTR 的内存 Visual Studio .NET 2003 转自: https://msdn.microsoft. ...
- CentOS下安装Tomcat7
1.检查java版本信息 #java -version java version "1.7.0_65" OpenJDK Runtime Environment (rhel-2.5. ...