Lab3.1

準(zhǔn)備環(huán)境：

安裝openssl工具

yum install –y

openssl

修改/etc/pki/tls/openssl.cnf將

dir

= ../../CA修改為/etc/pki/CA --指定工作的根目錄(這里只要修改成/etc/pki/CA就可以了，也可以使用相對路徑)

certificate =

$dir/newcerts

修改為$dir/my-ca.crt --證書文件所在的位置(公鑰)

crl =

$dir/crl.pem修改為$dir/my-ca.crl

--證書吊銷列表

private_key =

$dir/private/cakey.pem 修改為$dir/private/my-ca.key

修改生成證書時的默認(rèn)值

修改為

在/etc/pki/CA文件夾中創(chuàng)建/etc/pki/tls/openssl.cnf中定義的目錄

mkdir

/etc/pki/CA/certs crl newcerts

創(chuàng)建索引文件和序列號文件

產(chǎn)生私鑰并修改權(quán)限為600

touch

/etc/pki/CA/index.txt

echo

01 > /etc/pki/CA/serial

lab3.2

安裝dovecot

yum

install –y dovecot

修改/etc/dovecot.conf配置文件修改為使用加密的協(xié)議

將protocols = pop pop3s imap imaps修改為

protocols=imaps(將前面的注釋取消)

重啟dovecot

service dovecot restart

復(fù)制出創(chuàng)建證書的腳本

cp

/usr/share/doc/dovecot-version/examples/mkcert.sh

編輯腳本文件將默認(rèn)的

OPENSSL=${OPENSSL-openssl}

SSLDIR=${SSLDIR-/etc/pki/dovecot}

OPENSSLCONFIG=${OPENSSLCONFIG-/etc/pki/dovecot/dovecot-openssl.cnf}

修改為

OPENSSL=/usr/bin/openssl

SSLDIR=/etc/pki/dovecot

OPENSSLCONFIG=/etc/pki/tls/openssl.cnf

刪除公鑰和私鑰

rm

/etc/pki/dovecot/certs/dovecot.pem

/etc/pki/dovecot/proivate

然后執(zhí)行創(chuàng)建證書的腳本

sh

mkcert.sh

重啟dovecot服務(wù)，使配置生效

service dovecot restart

利用mutt測試(普通用戶，root用戶不成功)

創(chuàng)建.mutt的配置文件的文件夾

mkdir

.mutt

編輯mutt配置文件

vim

muttrc

set

folder=imaps://cacti.example.com

set

spoolfile=imaps://cacti.example.com

set

imap_force_ssl=yes

然后使用mutt連接，會提示證書信息，按o

Lab3.3

利用CA服務(wù)器生成一個新的RSA密鑰對，并修改權(quán)限為600

(umask

077;openssl genrsa 1024 >

dovecot.key)

生成一個證書請求文件

(umask

077;openssl req –new –key dovecot.key –out dovecot.csr)

查看證書

openssl req –in dovecot.csr –noout –text

在CA服務(wù)器上簽署證書

openssl ca –in dovecot.csr –out dovecot.crt

在/etc/pki/CA/index.txt中查看證書的信息

cat

/etc/pki/CA/index.txt

V表示可用的R表示吊銷的

將生成的公鑰和私鑰復(fù)制到dovecot的證書目錄下

cp

~/dovecot.key /etc/pki/dovecot/private/dovecot.pem

cp

~/dovecot.crt /etc/pki/dovecot/certs/dovecot.pem

重啟dovecot服務(wù)

Lab3.4

如果不提示證書需要將/etc/pki/CA/my-ca.crt復(fù)制到非root賬戶的~/.mutt/下

(如果提示沒權(quán)限，可以使用root復(fù)制)

同時在~/.mutt/muttrc中添加

set

certificate_file=~/.mutt/my-ca.crt

Lab3.5

在火狐瀏覽器中導(dǎo)入CA證書

選擇編輯—首選項—高級—加密—查看證書—導(dǎo)入

導(dǎo)入CA證書(在/etc/pki/CA下)

查看證書序列號和主題

openssl x509 –in /etc/pki/dovecot/certs/dovecot.pem –noout

–serial –subject

現(xiàn)在的/etc/pki/CA/serial已經(jīng)變?yōu)?2

查看/etc/pki/CA/index.txt

狀態(tài)是V

cat

/etc/pki/CA/index.txt

吊銷證書

openssl ca –revoke /etc/pki/CA/newcerts/01.pem

查看/etc/pki/CA/index.txt

狀態(tài)變?yōu)镽

產(chǎn)生吊銷列表

echo

00 > /etc/pki/CA/crlnumber

cd

/etc/pki/CA/crl

openssl ca –gencrl –out my-ca.crl

查看證書吊銷列表

openssl crl –in my-ca.crl –noout –text

將吊銷列表轉(zhuǎn)換成firefox或者是雷鳥可以識別的格式(DER格式)

openssl crl –in my-ca.crl –outform DER –out

my-ca-der.crl

瀏覽器導(dǎo)入吊銷列表

選擇撤銷列表

選擇導(dǎo)入

填寫吊銷列表網(wǎng)絡(luò)訪問路徑

總結(jié)

以上是生活随笔為你收集整理的ca证书 linux 导入_Linux CA证书服务器搭建的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。