SUSE Linux 安全与加密:证书、CRL 及 GPG 的使用指南
1. 创建子 CA 及证书
在输入密码后打开的对话框中,选择“Advanced”和“Create SubCA”。之后重复创建根 CA 的步骤来创建子 CA。完成子 CA 的创建后,就可以为个人或主机颁发由子 CA 签名的单个证书。
使用 YaST 创建由 CA 签名的证书,具体步骤如下:
1. 进入子 CA 并选择“Certificates”选项卡。
2. 在“Add”下,选择“Add Server Certificate”。
3. 后续对话框与创建根 CA 时非常相似,要特别注意左侧关于通用名称的注释,否则证书与主机名不匹配会导致错误信息。
4. 选择“Next”打开下一个对话框,需注意证书的有效期不能长于 CA 的有效期。
5. 再次选择“Next”后,输入信息会被汇总,若信息无误,选择“Create”创建证书,证书将列在子 CA 的概述对话框中。
要在目标服务器上使用该证书,需将其导出并传输到服务器。选择“Export”,并根据需求选择合适的选项。导出证书和私钥有多种选择,具体取决于使用方式和软件要求。例如,Apache 网络服务器使用的私钥可以加密,但每次启动 Apache 时都需要输入密码短语;而像 stunnel 这类程序在启动时不提供输入密码短语的对话框,因此需要未加密的私钥。
2. 使用 YaST 创建证书吊销列表(CRL)
创建证书吊销列表(CRL)有两个主要步骤:
1.吊销证书:
- 进入 CA。
- 选择“Certifica
