CA--实验文档

CA认证中心及证书的应用

一、案例环境

二、实施步骤

（一）搭建企业CA证书 服务器

1.确认安装openssl

rpm -qa | grep openssl

• openssl-devel
• openssl

2.修改配置文件

vi /etc/pki/tls/openssl.cnf
...//省略
[ req_distinguished_name ]
countryName_default    = CN
...//省略
stateOrProvinceName_default = Beijing
localityName_default = Beijing
0.organizationName_default = Example,Inc.
organizationalUnitName = 默认
commonName = TYLT Certificate Authority
emailAddress = [email protected]

3.为CA服务器生成私钥

cd /etc/pki/CA/
echo 01 > serial
ls

touch index.txt

openssl genrsa -out pirvate/cakey.pem -des3 2048 
中间需要输入密码（下面创建证书时候需要）
确认密码

查看是否生成

ls

#### 4.为CA服务器创建自己的根证书文件

去CA目录下面

```bash
openssl req -new -x509 -key private/cakey.pem -days 365>cacert.pem
输入密码（私钥的密码）
确认密码

5.发布证书文件

yum -y install httpd
vim /etc/httpd/conf/httpd.conf
ServerName ca.domain.com

cd /var/www/html
mkdir certs
cd certs

将cacert.pem复制到certs目录下面

mv cacert.pem TYLT-CA.CRT

（二）配置Dovecot邮件服务器，并为邮件服务器办法证书

1.生成服务私钥

mail.domain.com

openssl genrsa -out imaps-svr.key 1024

2.生成签名请求文件

mail.domain.com

openssl req -new -key imaps-svr.key -out imaps-svr.csr
输入国家名称（要与ca上的一致）
国家CN
省Beijing
城市Beijing
公司Example,INC.
组织：默认
Common Name : mail.domain.com

3.将签名证书请求文件发给CA中心

mail.domain.com

scp imaps-svr.csr 192.168.10.4/root

4.根据签名请求创建CA证书文件

在ca.domain.com虚拟机上

cd /root/
openssl req -in imaps-svr.csr -noout -text

openssl ca -in imaps-svr.csr -out imaps-svr.crt

将证书传给mail.domain.com

scp -imaps-svr.crt 192.168.10.5:/root

• 启动postfix

5.安装dovecot

• 安装dovecot

新建用户

• dovecot
• dovenull

./configure --prefix=/usr/local/dovecot --sysconfdir=/etc --with-ssl=openssl

6.调整dovecot配置，启用数字证书

修改10-ssl.conf

ssl = yes
ssl_cert = 

将imaps-svr.crt复制到配置文件当中的位置，名称也是对应的

cp imaps-svr.crt /etc/ssl/certs/dovecot.pem

在ssl目录下

mkdir private
cp /root/imaps-svr.key private/dovecot.pem

（三）使用mutt客户端测试IMAPS协议

安装mutt

yum -y install mutt

mkdir .mutt
cd .mutt/

vi muttrc
set folder=imaps://mail.domain.com
set spoolfile=imaps://mail.domain.com
set certificat_file=/root/.mutt/TYTL_CA.CRT

启动测试

mutt