实现非对称加密文件和证书的创建与吊销

1、在CentOS7中使用gpg创建RSA非对称密钥对

#生成密钥对

[ root@CentOS7 ]# gpg --gen-key

请选择您要使用的密钥种类:

   (1) RSA and RSA (default)

   (2) DSA and Elgamal

   (3) DSA (仅用于签名)

   (4) RSA (仅用于签名)

您的选择? 1                 #不填默认为1

RSA 密钥长度应在 1024 位与 4096 位之间。

您想要用多大的密钥尺寸?(2048)1024     #不填默认为2048

您所要求的密钥尺寸是 1024 位

请设定这把密钥的有效期限。

         0 = 密钥永不过期

      <n>  = 密钥在 n 天后过期

      <n>w = 密钥在 n 周后过期

      <n>m = 密钥在 n 月后过期

      <n>y = 密钥在 n 年后过期

密钥的有效期限是?(0) 0           #不填默认为0

密钥永远不会过期

以上正确吗?(y/n)y

真实姓名:

姓名至少要有五个字符长

真实姓名:centos6

电子邮件地址:

注释:

您选定了这个用户标识:

    “centos6”

 

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O

 #可查看公钥

[ root@CentOS7 ]# gpg --list-keys 

2、将 CentOS7 导出的公钥,拷贝到 CentOS8 中,在 CentOS8 中使用 CentOS7 的公钥加密一个文件

#将 CentOS7 导出的公钥

[ root@CentOS7 ]#gpg -a --export -o centos7.pubkey

#拷贝到 CentOS8 中

[ root@CentOS7 ]#scp centos7.pubkey root@(centos8的ip):/root/.gnupg

#centos8导入centos7拷过来的公钥

[ root@CentOS8 ]#gpg --import centos7.pubkey

#用从CentOS7主机导入的公钥,加密CentOS8主机的文件file,生成file.gpg

[ root@CentOS8 ]#gpg -e -r centos7 file

3、回到 CentOS7 服务器,远程拷贝 file.gpg 文件到本地,使用 CentOS7的私钥解密文件

#拷贝

[ root@CentOS7 ]#scp  root@(centos8的ip):/root/file.gpg  /root/

#解密

[ root@CentOS7 ]#gpg -d file.gpg

#也可以解密后导出到别的文件里

[ root@CentOS7 ]#gpg -o file -d file.gpg

或者重定向到别的文件

[ root@CentOS7 ]#gpg -d file.gpg  >  /data/file

 

4、在 CentOS8 中使用 openssl 软件创建 CA 

centos8默认没有/etc/pki/CA/及子目录文件所以要自己创建

[ root@CentOS8 /etc/pki# mkdir -p ./CA/{certs,crl,newcerts,private}

#生成证书索引数据库文件

[ root@CentOS8 /etc/pki/CA# touch /etc/pki/CA/index.txt  

#指定第一个颁发证书的序列号

[ root@CentOS8 /etc/pki/CA# echo 01 > /etc/pki/CA/serial

#生成给CA用的私钥

[ root@CentOS8 /etc/pki/CA#  openssl genrsa -out private/cakey.pem 2048

#生成CA自签证书

[ root@CentOS8 /etc/pki/CA# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 3650 -out /etc/pki/CA/cacert.pem

-----

Country Name (2 letter code) [XX]:CN                       #输入国家

State or Province Name (full name) []:henan                 #输入省份

Locality Name (eg, city) [Default City]:zhengzhou               #输入城市

Organization Name (eg, company) [Default Company Ltd]:mage         #单位名称

Organizational Unit Name (eg, section) []:it                   #部门

Common Name (eg, your name or your server's hostname) []:CA.mage.com     #您的名字或服务器的主机名

Email Address []:                               #邮件地址

5、 在 CentOS8 中使用 openssl 软件创建一个证书申请请求文件,并使用上面的跟证书对其进行签署

#为需要使用证书的主机生成私钥

[ root@CentOS8 /etc/pki/CA# openssl genrsa -out ./certs/test.key 1024

#利用私钥生成申请文件(文件通常是以.csr为后缀)

[ root@CentOS8 /etc/pki/CA# openssl req -new -key ./certs/test.key -out ./certs/test.csr

#在CA签署证书并将证书颁发给请求者#默认要求 国家,省,公司名称三项必须和CA一致

[ root@CentOS8 /etc/pki/CA# openssl ca -in ./certs/test.csr -out ./certs/test.crt -days 730

6、吊销已经签署成功的证书

 #在客户端获取要吊销的证书的serial

 [ root@CentOS8 /etc/pki/CA# openssl x509 -in ./certs/test.crt -noout -serial -subject

serial=01

subject=C = CN, ST = henan, O = mage, OU = it2, CN = www.mage.com

[ root@CentOS8 /etc/pki/CA# cat ./index.txt

V 220906070933Z 01 unknown /C=CN/ST=henan/O=mage/OU=it2/CN=www.mage.com

#在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:

[ root@CentOS8 /etc/pki/CA#  openssl ca -revoke newcerts/01.pem

Using configuration from /etc/pki/tls/openssl.cnf

Revoking Certificate 01.

Data Base Updated

[ root@CentOS8 /etc/pki/CA# cat index.txt

R 220906070933Z 200906090356Z 01 unknown /C=CN/ST=henan/O=mage/OU=it2/CN=www.mage.com

#指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行

[ root@CentOS8 /etc/pki/CA# echo 01 > ./crlnumber

#更新证书吊销列表

[ root@CentOS8 /etc/pki/CA# openssl ca -gencrl -out ./crl.pem

Using configuration from /etc/pki/tls/openssl.cnf

[ root@CentOS8 /etc/pki/CA# cat crl.pem

-----BEGIN X509 CRL-----

MIIBvDCBpQIBATANBgkqhkiG9w0BAQsFADBNMQswCQYDVQQGEwJDTjEOMAwGA1UE

CAwFaGVuYW4xEjAQBgNVBAcMCXpoZW5nemhvdTENMAsGA1UECgwEbWFnZTELMAkG

A1UECwwCaXQXDTIwMDkwNjA5MjA1MVoXDTIwMTAwNjA5MjA1MVowFDASAgEBFw0y

MDA5MDYwOTAzNTZaoA4wDDAKBgNVHRQEAwIBATANBgkqhkiG9w0BAQsFAAOCAQEA

n2CBusJXLiWcD5WntlxCQArM3mJGCMVN0A1K7o1NK+dSKzp6/D4RiIEpSNqszC2T

kPXA0VzC3IoMLluZ/nzEv8aY9BD4QB7++7EsHVG9ieZbKUkvuOiGls7h1Hfbe7Mk

qQGXQouGi2JH/tvdh7gAI/8oAffvGqjKPvfWYIfdhCqPfi2wKm7hqYB1op87l2qh

FxJX6WJL3dvQ1w7/UEjJYQG4bn8YnPJqxTYhd4tjAUY46QIDh7niIH+CEeBxNaO1

daJe7qJVmas2vNVcdAq7AwMnxpXuww15WjMxda14VdlFt8BnhSGDn8xVBD2LZ0Y6

mKulHGhh4moCrWyOcxXywQ==

-----END X509 CRL-----

#查看crl文件(证书吊销列表)

[ root@CentOS8 /etc/pki/CA# openssl crl -in /etc/pki/CA/crl.pem -noout -text

Certificate Revocation List (CRL):

        Version 2 (0x1)

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C = CN, ST = henan, L = zhengzhou, O = mage, OU = it

        Last Update: Sep  6 09:22:20 2020 GMT

        Next Update: Oct  6 09:22:20 2020 GMT

        CRL extensions:

            X509v3 CRL Number:

                2

Revoked Certificates:

    Serial Number: 01

    ......

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/langgeniubi/p/13622685.html