CA認證和證書的概念
PKI:Public Key Infrastructure
簽證機構:CA(Certificate Authority)
註冊機構:RA(Register Authority)
證書吊銷列表:CRL(Certificate Revoke Lists)
證書存取庫X.509:定義了證書的結構和認證協議的標準。包括版本號、序列號、簽名算法、頒發者、有效期限、主體名稱、主體公鑰、CRL分發點、擴展信息、發行者簽名等
獲取證書的兩種方法:
使用證書授權機構
生成簽名請求(csr)
將csr發送給CA
從CA處接收簽名
自簽名的證書
自已簽發自己的公鑰重點介紹一下自建CA頒發機構和自簽名。
自建CA頒發機構和自簽名
實驗用兩臺服務器,一臺做ca頒發證書,一臺去請求籤名證書。
證書申請及簽署步驟:
生成申請請求
CA覈驗
CA簽署
獲取證書shell腳本進階
編寫服務腳本/root/bin/testsrv.sh,完成如下要求(1) 腳本可接受參數:start, stop, restart, status
(2) 如果參數非此四者之一,提示使用格式後報錯退出
(3) 如是start:則創建/var/lock/subsys/SCRIPT_NAME, 並顯示“啓動成功”
考慮:如果事先已經啓動過一次,該如何處理?
(4) 如是stop:則刪除/var/lock/subsys/SCRIPT_NAME, 並顯示“停止完成”
考慮:如果事先已然停止過了,該如何處理?
(5) 如是restart,則先stop, 再start
考慮:如果本來沒有start,如何處理?
(6) 如是status, 則如果/var/lock/subsys/SCRIPT_NAME文件存在,則顯示“SCRIPT_NAMEis running…”
如果/var/lock/subsys/SCRIPT_NAME文件不存在,則顯示“SCRIPT_NAME is stopped…”
其中:SCRIPT_NAME爲當前腳本名
(7)在所有模式下禁止啓動該服務,可用chkconfig和service命令管理