Open科学 是一个基于 OpenSSL 库的应用层 科学 实现。和传统 科学 相比,它的优点是简单易用。
Open科学 允许参与建立 科学 的单点使用共享金钥,电子证书,或者用户名/密码来进行身份验证。它大量使用了 OpenSSL 加密库中的 SSLv3 /TLSv1 协议函式库。Open科学 能在 Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X 与 Windows 上运行,并包含了许多安全性的功能。
准备工作
Centos7.7 作为服务端 Windows 10 作为客户端 Easy-RSA 3.0.6 服务端open科学版本 2.4.8 客户端open科学版本2.4.8 :下载地址: https://swupdate.open科学.org/community/releases/open科学-2.4.8.tar.gz
关闭selinux
[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config
[root@localhost ~]# setenforce 0安装epel仓库和open科学, Easy-RSA
[root@localhost ~]# yum -y install epel-release && yum -y install open科学 easy-rsa配置EASY-RSA 3.0
在/etc/open科学文件夹下面创建easy-rsa文件夹,并把相关文件复制进去
[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/open科学/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/open科学/easy-rsa/vars创建Open科学相关的密钥
我们将创建CA密钥,server端、client端密钥,DH和CRL PEM, TLS认证钥匙ta.key。
[root@localhost easy-rsa]# cd /etc/open科学/easy-rsa/初始化并建立CA证书
创建服务端和客户端密钥之前,需要初始化PKI目录
[root@localhost easy-rsa]# ./easyrsa init-pki[root@localhost easy-rsa]# ./easyrsa build-ca nopass创建服务器密钥
创建服务器密钥名称为 server1.key
[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass添加nopass 选项,是指不需要为密钥添加密码。
用CA证书签署server1密钥
[root@localhost easy-rsa]# ./easyrsa sign-req server server1创建客户端密钥
创建客户端密钥名称为 client1.key
[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass用CA证书签署client1密钥
[root@localhost easy-rsa]# ./easyrsa sign-req client client1创建DH密钥
根据在顶部创建的vars配置文件生成2048位的密钥
[root@localhost easy-rsa]# ./easyrsa gen-dh创建TLS认证密钥
[root@localhost easy-rsa]# open科学 --genkey --secret /etc/open科学/easy-rsa/ta.key生成 证书撤销列表(CRL)密钥
CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。
生成CRL密钥:
[root@localhost easy-rsa]# ./easyrsa gen-crl复制证书文件
复制ca证书,ta.key和server端证书及密钥到/etc/open科学/server文件夹里
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open科学/server/
[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/open科学/server/
[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/open科学/server/
[root@localhost easy-rsa]# cp -p ta.key /etc/open科学/server/复制ca证书,ta.key和client端证书及密钥到/etc/open科学/client文件夹里
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open科学/client/
[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/open科学/client/
[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/open科学/client/
[root@localhost easy-rsa]# cp -p ta.key /etc/open科学/client/复制dh.pem , crl.pem到/etc/open科学/client文件夹里
[root@localhost easy-rsa]# cp pki/dh.pem /etc/open科学/server/
[root@localhost easy-rsa]# cp pki/crl.pem /etc/open科学/server/文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/221312.html<
