Easy-RSA 3快速入门自述文件

Easy-RSA 3快速入门自述文件

这是使用Easy-RSA版本3的快速入门指南。运行./easyrsa -h可以找到有关使用和特定命令的详细帮助。可以在doc /目录中找到其他文档。

如果您从Easy-RSA 2.x系列升级，则可以使用doc-path下的Upgrade-Notes。

设置并签署第一个请求

以下是启动新PKI并签署您的第一个实体证书需要进行的快速运行：

1. 选择一个系统作为您的CA并创建一个新的PKI和CA：

    ./easyrsa init-pki
    ./easyrsa build-ca

2. 在请求证书的系统上，初始化其自己的PKI并生成密钥对/请求。请注意，仅当在单独的系统（或至少单独的PKI目录）上完成此操作时才使用init-pki 。这是建议的过程。如果您未使用此建议过程，请跳过下一个import-req步骤。

    ./easyrsa init-pki
    ./easyrsa gen-req EntityName

3. 将请求（.req文件）传输到CA系统并导入它。此处给出的名称是任意的，仅用于命名请求文件。

    ./easyrsa import-req /tmp/path/to/import.req EntityName

4. 将请求签名为正确的类型。此示例使用客户端类型：

    ./easyrsa sign-req client EntityName

5. 将新签名的证书传输到请求实体。除非事先有副本，否则该实体可能还需要CA证书（ca.crt）。

6. 该实体现在拥有自己的密钥对，签名证书和CA.

签署后续请求

按照上面的步骤2-6生成后续密钥对，并让CA返回签名证书。

撤销证书并创建CRL

这是CA特定的任务。

要永久撤消已颁发的证书，请提供导入期间使用的短名称：

./easyrsa revoke EntityName

要创建包含所有已撤销的证书的更新CRL，请执行以下操作：

./easyrsa gen-crl

生成后，需要将CRL发送到引用它的系统。

生成Diffie-Hellman（DH）参数

初始化PKI后，任何实体都可以创建需要它们的DH参数。这通常仅由TLS服务器使用。虽然CA PKI可以生成这个，但在服务器本身上执行它更有意义，以避免在生成后将文件发送到另一个系统。

DH params可以生成：

./easyrsa gen-dh

显示请求或证书的详细信息

要通过引用短EntityName来显示请求或证书的详细信息，请使用以下命令之一。没有匹配的文件调用它们是错误的。

./easyrsa show-req EntityName
./easyrsa show-cert EntityName

更改私钥密码

RSA和EC私钥可以重新加密，因此可以使用以下命令之一提供新密码，具体取决于密钥类型：

./easyrsa set-rsa-pass EntityName
./easyrsa set-ec-pass EntityName

可选地，可以使用'nopass'标志完全删除密码短语。有关详细信息，请参阅命令帮助