我们知道,当客户端与服务器端建立会话之前,首先是客户端发送请求,然后进行TPC/IP的三次握手,接着客户端与服务器端建立ssl会话。
会话过程:
A --> 服务器端
B --> 客户端
第一步:AB双方商量使用什么加密算法,怎么加密等等。 第二步:A发送证书给B,为了使B相信他。 第三步:B相信了,就生成对称密钥,将请求页面发送给A。 最后,A使用B发送的密钥加密后,将请求回应给B。
由于B要验证A的身份,因此,这里引入了第三方权威颁发机构,即CA,可以给A发证书。而B是相信CA的,因此,B拥有CA的证书。
则,A生成一对公钥,发送给CA进行签署(可以理解为盖章)得到证书,然后返回给自己,并且配置服务器,使之能使用证书。而B收到A的证书后,使用保存在主机上的CA证书去验证。
接下来,我们就将实现私有CA的认证。
准备工作:
两台主机,一个做CA(172.16.13.1),一个做web服务器端(172.16.13.2)。
[注--172.16.13.2主机必须配置完成web服务器]
步骤:
一、CA证书的制作(CA的主机上)
1、查看是否安装了openssl软件
# rpm -qa openssl
2、生成自签证书
【在/etc/pki/CA目录下完成】
(1)生成私钥
(2)生成自签证书
//由于生成证书是需要填写一些国家,省份等信息。这里将这些信息直接写入其默认配置文件中,以后就不用再填写了。
【编辑/etc/pki/tls/openssl.cnf,】找到大约136行左右:
【生成自签证书】
//要想将CA作为私有CA使用,则还需要在/etc/pki/tls/openssl.cnf文件中修改默认路径:
并且将CA工作时所需的目录创建出来。
由此,CA证书便创建完成
时间: 2024-10-30 22:28:32