私有CA和证书

证书类型

	证书授权机构的证书
	服务器
	用户证书

获取证书两种方法

	使用证书授权机构：
		生成签名请求（csr ）
		将csr发送给CA
		从CA处接收签名
	自签名的证书：
		自已签发自己的公钥

openSSL工具可以满足我们创建CA和证书

	1）PKI: Public Key Infrastructure
		签证机构：CA （Certificate Authority），真正的颁发证件机构，相当于公安局
		注册机构：RA，相当于派出所
		证书吊销列表：CRL，相当于证件丢失时挂失的内容
		证书存取库：当别人请求认证是的资料库。

	2）数字证书的格式（X.509） ：定义了证书的结构以及认证协议标准
		版本号
		序列号：CA用于唯一标识的此证书
		签名算法：
		颁发者：CA自己的名称
		有效期限
		主体名称：证书拥有者自己的名字
		主体公钥：证书拥有者自己的公钥
		CRL 分发点
		扩展信息
		发行者签名：CA对此证书的数字签名

	3）证书申请及签署步骤：
		1 、生成申请请求
		2 、RA 核验
		3 、CA 签署
		4 、获取证书

创建私有CA和颁发证书：

	openssl 的配置文件：
		/etc/pki/tls/openssl.cnf
		[ CA_default ]
		dir             = /etc/pki/CA           # Where everything is kept
		certs           = $dir/certs            # Where the issued certs are kept
		crl_dir         = $dir/crl              # Where the issued crl are kept
		database        = $dir/index.txt        # database index file.
		#unique_subject = no                    # Set to 'no' to allow creation of
		                                        # several ctificates with same subject.
		new_certs_dir   = $dir/newcerts         # default place for new certs.

		certificate     = $dir/cacert.pem       # The CA certificate
		serial          = $dir/serial           # The current serial number
		crlnumber       = $dir/crlnumber        # the current crl number
		                                        # must be commented out to leave a V1 CRL
		crl             = $dir/crl.pem          # The current CRL
		private_key     = $dir/private/cakey.pem   # The private key

	三种策略：匹配、支持和可选
		匹配指要求申请填写的信息跟CA设置信息必须一致，
		支持指必须填写这项申请信息，
		可选指可有可无

	1）创建所需要的文件
		生成证书索引数据库文件：
			touch /etc/pki/CA/index.txt
			系统会自动生成个index.txt.attr文件，用来决定是否使证书为唯一性，也就是是否可以重复申请证书
		指定第一个颁发证书的序列号：
			echo 01 > /etc/pki/CA/serial  

	2）CA自签证书
		生成私钥：
			cd /etc/pki/CA/
			openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
			chmod 600 cakey.pem
		生成自签名证书：
			openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem

	3）颁发证书
		1》在需要使用证书的主机生成证书请求
			在请求者Kernal的web服务器生成私钥：
				(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)

			在请求者Kernal上生成证书申请文件：
				openssl req -new -key /etc/pki/tls/private/test.key  -days 365 -out /etc/pki/tls/test.csr
		2》将证书请求者Kernal的文件传输给CA
		3》CA签署证书，并将证书颁发给请求者Kernal：
			openssl ca -in /tmp/test.csr –out  /etc/pki/CA/certs/test.crt -days 365
			 注意：
				默认国家，省，公司名称三项必须和CA一致，但可以修改/etc/pki/tls/openssl.cnf
				common name要使用此主机在通信真实使用的名字
		4》查看证书中的信息：
			openssl x509 -in  /PATH/FROM/CERT_FILE -noout -  text|issuer|subject|serial|dates
			openssl ca -status SERIAL：查看指定编号的证书状态 

	4）吊销证书
		1》在客户端获取要吊销的证书的serial（序列号）
			openssl x509 -in /PATH/FROM/cert_FILE -noout  -serial -subject
		2》在CA 上，根据客户提交的serial 与subject信息，对比检验是否与index.txt 文件中的信息一致，吊销证书：
			openssl ca -revoke /etc/pki/CA/newcerts/0SERIAL .pem
		3》指定第一个吊销证书的编号
			注意：第一次更新证书吊销列表前，才需要执行
			echo 01 > /etc/pki/CA/crlnumber
		4》更新证书吊销列表
			openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
			查看crl 文件：
				openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

	5）请求者Kernal作为下级CA
		1》Kernal生成自己的私钥：
			openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
			chmod 600 cakey.pem
		2》Kernal向根CA申请证书：
			openssl req -new  -key  /etc/pki/CA/private/cakey.pem  -out  /etc/pki/tls/testsubca.csr
			将亲求文件发给根CA
		3》根CA颁发子CA证书给请求者Kernal，并发给Kernal：
			openssl   ca  -in  testsubca.csr  -out  /etc/pki/CA/certs/testsubca.crt
			将testsubca.crt发送给Kernal
			在kernal上讲testsubca.crt 改名为cacert.pem并放置在 /etc/pki/CA
		4》Kernal给请求者Berl颁发证书
			在请求者Berl的web服务器生成私钥
			在请求者Berl上生成证书申请文件
			将证书请求者Kernal的文件传输给Kernal（CA）
			Kernal（CA）签署证书，并将证书颁发给请求者Berl