搭建CA服务器

搭建CA服务器,第1张

步骤一:配置openssl的文件:/etc/pki/tls/openssl.cnf,有三种策略:匹配、支持、可选。匹配指要求申请 填写的信息跟CA设置信息必须一致,支持指必

须填写这项申请信息,可选指可有可无。

步骤二:创建所需的文件,这文件是为了后续申请ca用的,在此先配置。

步骤三:生成私钥

步骤四:生成自签名证书 openssl req -new -x509 –key

/etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem

查看证书文件

步骤五:在需要的客户端申请私钥

步骤六:生成证书申请文件

步骤七:把证书请求文件传输给CA

scp /etc/pki/tls/service.src 192.168.100.200:

步骤八:CA签署证书,并将证书颁发给请求者。注意:默认国家,省,公司名称三项必须和CA 一致

步骤九:查看申请完成的证书

步骤一:生成自定义证书申请文件,并把文件发给CA。

步骤二:ca签署自定义申请证书

步骤三:要完成自定义申请证书,必须要修改配置文件:/etc/pki/tls/openssl.cnf

修改后

步骤四:重新签署自定义申请证书,此时,签署证书没有报错,输入两次yy,文件末尾显示Data Base Updated ,完成签署。

步骤五:查看新申请完成的证书

步骤六:当我们的证书丢失或者不想使用的时候,如何吊销证书呢?方法如下:openssl ca -revoke /etc/pki/CA/newcerts/02.pem

步骤七:指定一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行

echo 01 >/etc/pki/CA/crlnumber

步骤八:更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

步骤九:查看crl文件:openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

哈,站长一语中的。其实不是Exchange的问题,是CA的问题。大概在这里解释一下吧,如果站长觉得在此处不妥,就把这个帖子移到别处吧。

CA是5年前11月份为Exchang2003建立的,有效期是5年(咋建CA网上有的是了)结果2年前5月份升级到Exchange2010,重新向CA申请的证书,现在2年到期,续订证书,但是到11月份正好根证书5年到期,所以会出现这样仅能续订半年证书的情况。

查看CA时间的方法为,在CA服务器上,打开控制面板里-管理工具-证书颁发机构-右键点击CA属性,查看证书日期,一般都是5年,续订的方法是右键点CA-所有任务-续订CA证书,这样就会再延期5年。

重新在EXCHANGE上申请续订证书,这时候的申请续订的数字证书时间会是2年,要想延长这个时间需要修改CA服务器的注册表(这个网上也有,大家可以搜一下)

续订完证书,在EXCHANGE的EMC上完成证书申请的搁置请求,导入证书后,会提示证书不可用,我觉得是虽然在CA上续订了证书,但是在EXCHANGE上还是认为是一个新证书,所以要手动把证书安装一下,既可。最后记得把服务迁移到新证书下,尤其是IIS,改变后可能某些IIS设置需要调整一下,要不会出现用户OWA访问有点问题。

俺自以为是的给留下的问题解决的办法,结果发现还是有问题,犯了一个基本的错误,这个也讲给大家吧,也许大家都知道了,客户端上需要安装的是根证书而不是导入Exchange的那张,我把EXCHANGE那张证书在客户端装了N多遍都报错。结果发现是这个问题,根源就是没有搞懂数字证书的原理。另外在CA服务器下载根证书的时候还要注意,因为续签了所以有两张根证书,注意要下那个续签的新根证书!


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/366060.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-12
下一篇2023-05-12

发表评论

登录后才能评论

评论列表(0条)

    保存