CA如何處理憑證申請書?
1.製作憑證申請書(內容包含User Information、user public key、user private key)
1.把憑證申請書交由CA處理(內容包含User Information、User public key)
2.把CA的資訊放入,代表那一家CA處理
3.放入有效期限(收費用)
4.再來CA把 "User information 、Public key 、CA Information 、Begin-End (有效期限)"
這四項資訊抓出來,過過MD5 或 SHA或SHA1任選一種雜湊演算法,做出finger printer
5.但到此時,還是不安全,因此,CA會拿出他的Private key ,把finger printer 加密起來,
當完成這些事項後,它不再是憑證申請書,而是數位憑證
.產生 Root CA的方法
cd /usr/share/ssl/misc/
執行./CA -newca (enter)
使用預設名稱(enter)
加密private key
(不可忘記此password ,否則無法簽發憑證,除非重新產生Root CA
再來輸入CA的資訊
不要輸入你網站的資訊,這是簽發憑證中心,產生Root CA
Root CA憑證位置:
/usr/share/ssl/misc/demoCA/
Root CA 的private key:
/usr/share/ssl/misc/demoCA/private
====================================================================================
1.CA(Certificate Authorities):負責核發數位憑證的機構
2.Digital Certificate:數位憑證
可向CA 發出(Certificate Sign Request)要求認證你的public key,若CA願意,它
會核發數位憑證給你。
3.數位憑證內含有:
-- 你的public key ,你的識別資訊,簽發機構的識別資訊,這份認證的有效期限。
-- 上述四項資料結合後,交由雜湊函數處理得到的hash值,
再把這 hash 值利用CA的 secret key 加密處理後所得的資料。
4.數位憑證可用於識別個人身份,也可以用識別伺服器。
如 Secure Web Server (HTTPS)、POP3、IMAPS 等。
-- 製作POP3S /IMAPS 用的數位憑證(private key 在安裝時已自動做好):
(1) cd /usr/share/ssl/certs
(2)
(3) make dovecot.pem
(4) cp dovecot.pem ../private
數位憑證預設路徑 /usr/share/ssl/certs/dovecot.pem
Private Key 預設路徑 /usr/share/ssl/private/dovecot.pem
5.檢視數位憑證的內容:
-- openssl x509 -in 數位憑證檔名 -text -noout
-- 只看 Subject: openssl x509 -in 數位憑證檔名 -subject -noout
註:本文使用Redhat ES 或CentOS來建置
留言列表
