CentOS8 CA服务器

采得百花成蜜后，为谁辛苦为谁甜。这篇文章主要讲述CentOS8 CA服务器相关的知识，希望能为你提供帮助。
比赛题目要求配置 Linux-1 为 CA 服务器,为所有 Linux 主机颁发证书，不允许修改/etc/pki/tls/openssl.conf。CA 证书有效期 20 年，CA 颁发证书有效期均为 10年，证书的通用名称均用主机的完全合格域名，证书信息：国家=“CN”，省=“Beijing” ，市/县=“Beijing” ，组织=“skills” ，组织单位=“system” 。
CA的理论知识证书请求文件：CSR是Cerificate Signing Request的英文缩写，即证书请求文件，也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书的私钥签名就生成了证书文件，也就是颁发给用户的证书。
openssl中有如下后缀名的文件：

.key格式：密钥
.crt格式：证书文件，certificate的缩写
.csr格式：证书签名请求（证书请求文件），含有公钥信息，certificate signing request的缩写
.crl格式：证书吊销列表，Certificate Revocation List的缩写
.pem格式：用于导出，导入证书时候的证书的格式，有证书开头，结尾的格式

手动创建必须的目录和文件

mkdir -p /etc/pki/CA
cd /etc/pki/CA
mkdir certs,crl,newcerts,private
touch index.txt #证书的索引数据库文件
echo 01 > serial #存放每个证书的编号文件

生成CA的私钥

(umask 077; openssl genrsa -out private/cakey.pem 2048)

生成自签名的CA证书，实际上是CA的公钥

[root@cs1 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
……
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:skills
Organizational Unit Name (eg, section) []:system
Common Name (eg, your name or your servers hostname) []:cs1.skills.com
Email Address []:

查看CA的自签证书详细内容命令

[root@cs1 CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
5c:ac:f4:c7:4d:fd:ce:78:88:f2:05:bf:c9:22:fb:0b:a3:cc:71:7a
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
Validity
Not Before: Dec 18 19:26:23 2021 GMT
Not After : Dec 13 19:26:23 2041 GMT
Subject: C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)

验证命令：到这里，CA就已经配置好了

[root@cs1 CA]# date
2021年 12月 19日星期日 03:40:12 CST
[root@cs1 CA]# openssl x509-in /etc/pki/CA/cacert.pem -noout -subject -issuer -enddate
subject=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
issuer=C = CN, ST = Beijing, L = Beijing, O = skills, OU = system, CN = cs1.skills.com
notAfter=Dec 13 19:26:23 2041 GMT