使用CA证书签发客户端证书
- 登录到生成CA证书的服务器。
- 进入“cert_v3”目录,创建与ca平级的目录client,并进入该目录。
mkdir client cd client
- 创建客户端证书的OpenSSL配置文件“client_cert.conf”,内容如下:
[ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = mxManufacture CN = xxx.huawei.com [ v3_ca ] authorityKeyIdentifier = keyid,issuer basicConstraints = CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [ alt_names] DNS.1 = xxx.huawei.com
“CN”字段可以根据需求改为服务器对应的域名、IP地址。
“xxx.huawei.com”仅供参考,“xxx”需要根据实际情况修改,例如:mxmanufacture.huawei.com。
- 创建客户端证书私钥文件“client.key”。
openssl genrsa -aes256 -out client.key 4096
请设置合理的密码强度,长度至少为8个字符,且包含数字、大写字母、小写字母、特殊符号中的两种及以上字符组合。
- 创建客户端证书的csr请求文件“client.csr”。
openssl req -out client.csr -key client.key -new -config ./client_cert.conf
- 使用CA证书签发客户端证书“client.crt”。
openssl x509 -req -in client.csr -out client.crt -sha256 -CAcreateserial -days 1000 -extfile ./client_cert.conf -extensions v3_ca -CA ../ca/ca.crt -CAkey ../ca/ca.key
- 若采用上述参考制作自签名证书,建议将生成的包含证书,私钥及敏感信息的目录权限设置为“700”并将目录内包含的证书,私钥及包含敏感信息的配置文件的权限设置为“400”。具体也可以参考通过华为KMC组件生成的 “keys”目录。
- 自签名证书制作完成后,请及时清理制作自签名证书过程中所生成的中间文件如“ca_cert.conf”、“server_cert.conf”、“client_cert.conf”等,避免信息泄露。
父主题: 自签名证书制作参考