OpenSSH和其配置

(Updated: )
,

一直都在使用OpenSSH这个玩意儿连接我们的Linux, 该仔细看一看他噜~

SSH概述

首先我们知道, SSH(secure shell)是一个协议, 也就是一个规范. 默认监听在22/tcp端口, 提供安全的远程登录功能, 而OpenSSH就是一个开源实现.

在机房几百几千台服务器, 我们不可能一个一个都去配置上显示器, 所以就想办法通过网络来进行连接. 这里我们所连接上的就是远程终端. 要把对方显示的结果显示到我们本地的显示器上, 并且通过本地键盘键入命令, 获得远程执行的结果. 包括我们在登录时输入的账号和密码, 都需要通过网络来传输. 因此默认情况下, 原本本地的终端使用mingetty来附加上一个login程序, 来让用户登录. BUT! mingetty并没有能使得远程管理的功能. 因此我们就需要在服务器(远程终端)执行一个服务端程序来将本地的基于终端的请求通过某种特定的协议映射到需要交换的对象上. 这也是C/S架构的一个应用.

早期, 上述的实现是使用的telnet. 两地终端通过telnet协议进行通信. telnet同样使用tcp, 但它监听在23端口. telnet没有涉及任何加密, 所以所有的数据都是明文传输, 这是相当于不安全的. 于是telnet的后继者ssh就出现了. 并且解决了除了远程登录的诸多功能.

在一台CentOS6的机器上实验, 注意, 这个telnet服务属于是超级守护进程的瞬时激活进程 (不知道这样说对不对?) 也就是由xinetd统一管理的进程之一, xinetd有点像我们之前说的systemd的socket激活机制, 按需激活的机制. 所以我们只要启动xinetd服务即可.

有关SSH安全机制在 补充-SSH-Secure-Shell-的原理和处理过程 说过一点.

OpenSSH也是C/S架构的, 我们的服务器端就叫做: sshd, 而对于客户端则直接叫做: ssh, 并且还有scp这样的工具, 还有sftp这样的子系统.

SSH命令和配置

SSH命令

直接man一下ssh, 其实支持的功能还是蛮多的. 最简单的方法就直接在后面加上主机名就行了. 用户名是可以省略的, 会使用当前系统登录的用户作为默认用户来登录. 除了默认的user@hostname, 也可以使用**-l**来指定user, 也就是:

1
ssh -l root 192.168.100.10 # 就等价于ssh root@192.168.100.10

另外一个很重要的属性是**-p**, 后面指定port. 这个属性通常很有用, 因为作为ssh的安全措施之一就是不使用ssh的默认22号端口. (为什么?因为这不是一个公开服务.) 其他的就不多了.

但是这里再说一个有意思, 使用SSH进行隧道建立以及内网穿透.

首先我们说几个有用的参数:

1
2
3
4
5
6
-f 需要和下面的-N进行连用, 意思是说让ssh在后台运行
-N 如果没有加上-f参数会堵塞终端(在前台滞留)
-g 加上这个参数表示允许外部主机进行连接, 否则只允许localhost
-C 压缩数据传输 
-L 本地转发到远端, 可以用来越过防火墙.
-R 远端转发到本地, 可以用于内网的穿透

比如, 下面的这个例子. 主机A(139.199.XX.130)这个IP是一个公网IP, 小明在寝室使用实验室的代理主机B(59.68.XX.126)连接互联网, 但是由于校园网的防火墙配置使得小明无法使用ssh,ping等访问到校园网以外的网络. 于是小明原来可以先登录到代理主机B, 接着在代理主机B上进行操作登录到主机A. 但是这样很麻烦, 于是小明在主机B上使用:

1
ssh -CfNg -L 10022:localhost:1022 root@139.199.XX.130 -p 1022

搭建了一条SSH转发隧道. 也就是当ssh连接主机B的10022端口的时候, 会被转发到目标主机的1022端口上. 意思就是说在代理主机B上创建了一个端口为10022的套接字, 当有ssh连接请求到这个套接字的时候, 就会将接下来的请求转发到位于主机A的1022那个端口上(说到这里你也就知道了, 都能够进行端口转发了. 其实还有别的用处, 比如说进行穿透的ftp服务访问等等..)

另外, 小红在实验室遇到了一个问题, 他想让小明远程连接过来帮他解决, 但是实验室内网没有建立VPN, 由于小红能够访问到处在公网的小明. 所以小红就想到使用ssh建立一条隧道, 使得小明能够直接连接进来. 这样该怎么做呢? 反过来建立的方法是这样:

1
ssh -CfNg -R 10022:localhost:1022 root@139.199.XX.130 -p 1022

唯一的区别就在于那个参数的改变, 使得监听套接字的创建换成了另外一台主机.

注意: 这个实验成功的一个注意点是你的iptables设定. 另外直接这么开着一条隧道是一件十分危险的事情! 请务必把他关闭, 或者添加安全措施(增加专用用户等等)

SSH配置

客户端的ssh配置文件在/etc/ssh/ssh_config上 而服务器端的就在同一目录下的sshd_config里. 首先我们看一下客户端的咯.

文件中定义了对于一个特定的Host使用什么样的配置, 而默认的*就是所有主机. 基本上默认的值我们无需进行定制. 其中有一个叫StrictHostKeyChecking的配置, 意思是说是否进行严格主机密钥检查. 如果将该值从ask改为no, 就不会出现询问是否添加RSAkey的消息了, 会直接进行写入. 另外一个常用的值就是port了, 这样在换端口了之后就不需要再每次连接的时候加上-p参数了.

基于密钥的SSH登录

每次输入密码有点麻烦, 所以我们不如配个公私钥来免密码登录.

首先我们需要在本地生成密钥:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[root@WWW ~]# ssh-keygen -t rsa -P "" -f "/root/.ssh/id_rsa"
Generating public/private rsa key pair.
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
fc:14:0a:bb:22:81:f7:74:21:2c:2a:c7:f4:a5:19:25 root@WWW
The key's randomart image is:
+--[ RSA 2048]----+
|    E .          |
|   . o           |
|  o + +   .      |
| = o * = . .     |
|+ = = o S .      |
|.o + . . o       |
|  . o .   .      |
|   . .           |
|                 |
+-----------------+
# 如果希望得到交互式的结果,可以直接敲ssh-keygen就行了(不过还是建议起码加上-t rsa)

得到了这一对密钥就可以继续. 我们把公钥发送出去. 怎么发送呢? OpenSSH提供了ssh-copy-id的工具帮助我们方便进行公钥的发送, 用法如下:

1
ssh-copy-id [-n] [-i [identity_file]] [-p port] [-o ssh_option] [user@]hostname

一般我们只需要指定-i就行了, 这个identity文件的寻找和默认的是不一样的,所以这个参数几乎是必须要加的.
添加过后会出现:

1
2
3
4
5
6
7
8
9
[root@WWW ~]# ssh-copy-id -i .ssh/id_rsa.pub root@192.168.56.101
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.56.101's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.56.101'"
and check to make sure that only the key(s) you wanted were added.

接着就可以直接进行免密登陆了.

接着我们再插着所以下之前提到的SCP命令. 这个SCP的意思其实就是secure copy, 也就是说基于SSH进行跨主机的文件传输, 其有两种模式: PULL和PUSH.(和你git的那两个差不多)

使用起来也很简单:

1
scp [options] SRC... DEST/

存在两种情形所以命令是不一样的, 如果是PULL(拉取服务器数据保存到本地) :

1
scp [options] [user@]host:/PATH/FROM/FILE /PATH/TO/SOMEWHERE

而PUSH(将本地的文件推送到远端主机上)呢?

1
scp [options] /PATH/TO/FILE [user@]host:/PATH/TO/SOMEWHERE

常用的选项有这些:

  • -r: 递归复制
  • -p: 保持源文件的属性信息
  • -q: 静默模式
  • -P port: 远端主机监听的port

更厉害的是我们的sftp , 他甚至可以像在自己机器上面一样可以做各种各种的事情(当然前提是有权限), 包括制作连接, 进行权限设定啥的.

OK, 现在就来说一说服务器端的配置文件吧. 这个文件的价值个人觉得是很大的.

和一般的配置文件相同, 井号开头不加空格的就是可启用的配置项, 加空格的就是注释.

看一下有哪些配置项吧:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Port 20022 # 一般为了安全我们不会使用默认的22端口
#AddressFamily any # 表示监听IPv4还是IPv6, 还是都监听.
ListenAddress 192.168.56.101 # 由于是服务器, 所以可能会有多网卡多地址, 一般这里都会设置成内网监听
#ListenAddress ::
SyslogFacility AUTHPRIV # 这个就是我们之前说过的, 日志记录
LoginGraceTime 2m # 登录的宽限时间, 也就是一直不输入密码结果就断开连接的那个时间间隔
PermitRootLogin no # 是否允许root用户直接登录, 一般改成no比较安全
MaxAuthTries 6 # 最大的尝试次数, 一定程度上可以防止暴力破解
MaxSessions 10 # 最大的并行登录
PubkeyAuthentication yes # 是否允许使用公钥验证, 当然是允许的啦
AuthorizedKeysFile      .ssh/authorized_keys # 这个就是在定义我们的生成的公钥的放置地方
PasswordAuthentication yes # 是否允许密码登录
X11Forwarding yes # 是否支持X11转发, 是否允许在远端进行图像化
Subsystem       sftp    /usr/libexec/openssh/sftp-server # 是否启动sftp的子系统

在实验中请把SELINUX的状态改成Permissive或者直接关闭, 否则端口改变会失效.

值得一提的是, ssh服务端的一个配置项: UseDNS yes 意思是说是否使用DNS反向解析, 默认是打开的, 这会消耗巨量的时间. 短则几十秒, 长则几分钟 因此我们应该将这个关闭.

SSH服务的最佳实践

  • 不使用默认的端口

  • 禁止使用protocol version 1

  • 限制可登录用户

  • 有两个属性叫做AllowUsers和AllowGroups可以用来做白名单, 反之还有黑名单. 注意, 当你两个都设置的时候, ssh会取两者的交集(就是说:当你允许root和用户test登录, 但是只允许root组登录的时候, test依旧会被拒绝.)

  • 设定空闲会话超时时长

  • 利用防火墙设置ssh的访问策略

  • 仅监听特定的IP地址

  • 基于口令认证的时候, 使用强密码策略 ( 一个生成随机数密码的小技巧 )

    • tr -cd a-zA-Z0-9_ < /dev/urandom | head -c 30 | xargs

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      23
      24
      25
      26
      27
      28
      29
      30
      31
      32
      33
      34
      35
      36
      37
      38
      39
      40
      41
      42
      43
      44
      45
      46
      47
      48
      49
      50
      51
      52
      53
      54

      *  使用基于密钥的验证

      *  禁止使用空密码

      *  禁止root用户直接登录

      *  限制ssh的访问频度, 和同并发数量限制

      *  做好日志记录, 保存在日志服务器上

      *  经常分析记录

      ## OpenSSL和CA相关

      我们之前已经说了好大一会openssl这个东西了, 但是当时就草草的随意提了下关于证书的种种. 今天就在这里详细说一下关于CA和证书的事情.

      [OpenSSL初识](https://yaoxuannn.com/2017/09/08/OpenSSL%E5%88%9D%E8%AF%86%E4%B8%8E%E7%AE%80%E5%8D%95%E7%9A%84%E7%BD%91%E7%BB%9C%E9%80%9A%E4%BF%A1%E5%AE%89%E5%85%A8/)

      我们之前提到过 有一个实现现代互联网安全使得最根本的保证, 叫做PKI, 全称是Public Key Infrastructure. 也就是公钥基础设施. 主要有下面几个成分组成, 也就是CA(发证机构), RA(注册机构), CRL(吊销列表), 证书存取库. 其中CA是非常重要的, 而注册机构也是需要发给CA, 然后由CA做签名的.  但是总不能一直都支付那么高的费用, 例如, 日后我需要建立VPN来连接机构组织的内网, 由于这个VPN需要验证而且他本身就是用在我们这个组织内部的, 所以我们可以使用**内部证书**, 或者说**私有证书**, 这种感觉就好像是银行所使用的某某盾, 某某通行证啥的, 这些东西只有在银行内部才能够使用 如果每一个客户的支付通行证都是购买的证书的话, 那开销也太大了.

      建立私有CA, 已经可以满足我们的需要了. 建立私有CA, 有很多专门的工具来做到, 其中由一个非常著名的实现叫做OpenCA, 但是过于复杂和专业, 所以我们使用openssl来实现. 其实OpenCA就是对openssl的高度抽象来实现更多强大的功能. 下面就来说怎么建立私有CA.

      首先就要先了解一下我们的证书申请和签署步骤:

      * 生成申请请求: 提供主机名以及一些唯一标识, 如果是主机间通信的话, 还应该有主机所属的组织, 邮箱地址等等. 这些信息RA会进行核验, 所以一定要写真实的.
      * 接着就是RA的核验
      * 接着交给CA做签署
      * 最后获取证书

      如何创建私有证书? openssl自己就可以进行证书的签署以及吊销他们. 我们来看看如何操作的:

      他的配置文件在: `/etc/pki/tls/openssl.cnf` 这是作为CA时用到的默认配置文件.  其中我们只要先关注CA的部分就行:

      ```bash
      [ CA_default ]

      dir             = /etc/pki/CA           # Where everything is kept
      certs           = $dir/certs            # Where the issued certs are kept 已签署的证书
      crl_dir         = $dir/crl              # Where the issued crl are kept 吊销列表
      database        = $dir/index.txt        # database index file. 索引文件, 已签署的
      #unique_subject = no                    # Set to 'no' to allow creation of 证书的信息是否可一致
                                              # several ctificates with same subject.
      new_certs_dir   = $dir/newcerts         # default place for new certs. 签署过程中的存放位置
      certificate     = $dir/cacert.pem       # The CA certificate CA自己的证书
      serial          = $dir/serial           # The current serial number 序列号
      crlnumber       = $dir/crlnumber        # the current crl number
                                              # must be commented out to leave a V1 CRL
      crl             = $dir/crl.pem          # The current CRL
      private_key     = $dir/private/cakey.pem# The private key
      RANDFILE        = $dir/private/.rand    # private random number file
      ...(omitted)
      default_days    = 365                   # how long to certify for 证书的有效期
      default_crl_days= 30                    # how long before next CRL 吊销列表的有效期限

后面的注释写的也很清楚了. 这里定义了很多工作目录的位置, 比如说第一个cert就是存放已经签署过的证书所在地. 而总的dir在最一开始进行定义: //etc/pki/CA 我们进去看一看

1
2
[root@WWW CA]# ls
certs  crl  newcerts  private

缺少了很多东西, 所以第一步我们就需要创建所需要的文件和准备序列号:

1
2
[root@WWW CA]# touch index.txt
[root@WWW CA]# echo "01" > serial

第二步, 我们先要给CA签署证书, 也就是自签. 要想得到证书, 我们就要先生成密钥对. 

1
2
3
4
5
6
7
8
[root@WWW CA]# (umask 077; openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
............................+++
...........................+++
e is 65537 (0x10001)
[root@WWW CA]# ls -l private/
total 4
-rw------- 1 root root 1675 Sep 14 03:45 cakey.pem

这样就生成了私钥, 接着就应该提取公钥了, 但是现在我们可以不使用pubout了, 可以直接使用openssl提供的req工具. 使用下面的命令:

1
2
3
4
5
[root@WWW CA]# openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
# 这里的-x509只有在进行自签的时候才会用到.
# -new 生成新证书的意思啦
# -days 可用的天数
# -out 输出的证书文件保存路径

接着就是第三步了, 发证

其中也需要几个小步骤: 首先需要用到证书的主机发出生成证书请求. 把请求文件传输给CA. CA确认没有问题之后就直接签署证书发还给请求者.

所以现在我们的主机已经是一台CA了. 那么现在我们启动另外一台主机, 像我们这台主机发起证书请求.

就以httpd来做这个实验:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@WWW ~]# cd /etc/httpd/
[root@WWW httpd]# mkdir ssl
[root@WWW httpd]# cd ssl/
[root@WWW ssl]# (umask 077; openssl genrsa -out httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
.................................................+++
...............................................................................+++
e is 65537 (0x10001)
[root@WWW ssl]# ls
httpd.key
[root@WWW ssl]# openssl req -new -key httpd.key -days 3650 -out httpd.csr
[root@WWW ssl]# ls
httpd.csr  httpd.key
[root@WWW ssl]# scp httpd.csr root@192.168.56.101:/tmp/
httpd.csr                  100% 1009     1.0KB/s   00:00

好了现在, 我们就已经将证书请求发送到目标CA了, 接着回到目标CA所在的主机:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
[root@WWW tmp]# openssl ca -in httpd.csr -out httpd.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Sep 14 08:25:28 2017 GMT
            Not After : Sep 12 08:25:28 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Hubei
            organizationName          = Default Company Ltd
            commonName                = WWW
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                0C:7B:43:97:E2:92:A8:A4:82:DF:4F:C0:DC:A0:CE:E4:9B:6B:A3:FD
            X509v3 Authority Key Identifier: 
                keyid:72:62:EE:58:34:DA:FA:35:BC:DE:53:54:79:E4:25:17:B7:E4:69:CC

Certificate is to be certified until Sep 12 08:25:28 2027 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

这样就签署完成了, 并且生成了证书文件. 同时我们注意到最后一行: 数据库更新. 那么来看一下index.txt吧:

1
2
[root@WWW tmp]# cat /etc/pki/CA/index.txt
V	270912082528Z		01	unknown	/C=CN/ST=Hubei/O=Default Company Ltd/CN=WWW

01号签署证书, 后面还有各种记录. 而新生成的证书就保存了一份到newcerts目录. 其实就是和我们out出来的httpd.crt同一个文件.

1
2
3
4
5
[root@WWW newcerts]# cd /etc/pki/CA/newcerts/
[root@WWW newcerts]# ls
01.pem
[root@WWW newcerts]# diff 01.pem /tmp/httpd.crt
[root@WWW newcerts]#

接下来我们把证书发还给客户端.

1
2
[root@WWW newcerts]# scp /tmp/httpd.crt root@192.168.56.103:/etc/httpd/ssl/
httpd.crt                           100% 4401     4.3KB/s   00:00

完成了, 以后搭建https的时候就可以直接使用了.

1
2
3
[root@WWW tmp]# cd /etc/httpd/ssl/
[root@WWW ssl]# ls
httpd.crt  httpd.csr  httpd.key

发证的过程就是这样. 如果日后忘记了可以使用x509来查看. x509就是专门用来进行证书管理的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
[root@WWW ssl]# openssl x509 -in httpd.crt -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=Hubei, L=Wuhan, O=Default Company Ltd, CN=WWW
        Validity
            Not Before: Sep 14 08:25:28 2017 GMT
            Not After : Sep 12 08:25:28 2027 GMT
        Subject: C=CN, ST=Hubei, O=Default Company Ltd, CN=WWW
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c5:46:f7:0a:5d:be:21:7d:93:44:9c:bb:b4:d6:
                    40:30:a2:be:f6:0d:f7:47:1f:ab:d8:57:9c:d0:4e:
                    d5:31:ed:3a:d4:b6:2a:a2:b4:43:e8:04:21:13:24:
                    fc:14:75:04:6e:43:f9:10:15:08:a4:28:9c:c5:6c:
                    a4:a9:1f:57:c4:e4:c5:a5:66:d9:3d:86:06:d3:0d:
                    50:18:60:5e:e8:39:7f:97:e5:8d:33:4d:c7:f8:5f:
                    2f:e6:99:fc:a2:e6:80:5a:83:26:d0:0c:94:1a:f6:
                    bb:6e:9a:0b:a8:19:74:39:54:22:58:d7:f8:48:66:
                    35:60:07:e0:91:38:e3:67:7a:a5:e3:b3:9b:6f:61:
                    48:26:af:18:74:51:19:b8:77:11:02:a7:fb:e6:33:
                    b2:e6:95:d2:6b:db:eb:94:b1:b7:57:de:18:fb:bc:
                    d0:1f:76:65:78:ad:e1:15:4f:36:50:e0:a5:8f:8f:
                    61:b9:be:3c:17:5c:df:71:d0:48:90:26:6c:59:bb:
                    3a:bf:77:b5:d0:12:b6:f0:33:dc:0c:d8:84:70:7f:
                    ad:6f:f3:5e:ea:8a:93:47:ce:22:56:87:e0:1a:9f:
                    aa:fd:29:ea:45:05:46:27:c8:6d:b9:f3:57:44:d5:
                    e2:ea:a6:00:b3:31:40:b6:1b:83:09:e7:7b:57:63:
                    88:9b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                0C:7B:43:97:E2:92:A8:A4:82:DF:4F:C0:DC:A0:CE:E4:9B:6B:A3:FD
            X509v3 Authority Key Identifier: 
                keyid:72:62:EE:58:34:DA:FA:35:BC:DE:53:54:79:E4:25:17:B7:E4:69:CC

    Signature Algorithm: sha256WithRSAEncryption
         65:e3:15:f0:bc:06:16:b5:e9:67:ca:48:bc:22:f7:78:bd:48:
         ee:0b:9f:a2:4e:86:11:fb:83:08:21:4d:2a:53:8f:6c:4a:fc:
         87:00:af:21:6d:6f:8f:14:b9:0b:cf:c0:78:9b:0c:0c:8f:4f:
         7b:11:f8:d3:83:e0:ba:c1:86:9a:d6:91:d0:c4:45:8c:6c:9a:
         15:d1:72:76:9e:2b:16:ff:37:ae:44:37:f7:16:23:c5:6b:00:
         28:ca:e8:da:72:b8:b9:4a:22:63:8b:29:42:b8:f5:3c:27:cf:
         2d:f7:b2:16:6a:93:a9:f5:89:8a:3d:37:37:7a:fb:46:c4:27:
         81:a5:82:07:44:bc:95:b6:d5:79:fd:74:75:83:b5:a8:fd:93:
         a0:5c:37:42:b3:b8:fc:74:ab:13:cf:28:d6:11:33:72:81:7e:
         6a:0f:d9:c4:22:fb:c1:5f:27:b4:9b:47:b8:d1:86:ca:ce:8d:
         87:19:e4:8e:5f:de:55:fd:7e:78:d6:68:a1:df:59:77:6f:56:
         a2:8d:da:54:d0:fd:a7:29:cd:7c:84:d9:5a:be:2f:f6:72:24:
         63:48:db:2d:d9:5d:7c:0f:01:dc:6c:c4:c0:82:ed:bd:bc:8b:
         1c:b0:e4:77:19:67:a1:2d:34:37:86:e6:b9:eb:b7:9d:e7:c4:
         0d:27:7b:92
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

OK, 最后我们再来说一说如何去吊销证书.(虽然可能用的机会不多)

首先我们要获取要吊销证书的serial号码, 怎么获取呢?很简单就是用上面的x509子命令, 将-text改成-serial就好了. 接着CA要根据客户提交的信息(serial, subject)和数据库(index.txt)中的信息是否一致. 接着就可以进行证书吊销了.

怎么做? 还是使用ca子命令, 加上-revoke参数就可以了:

1
2
3
4
[root@WWW newcerts]# openssl ca -revoke 01.pem 
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated

接着生成吊销证书标号就可以了. 如果是第一次进行吊销, 要先在/etc/pki/CA/crlnumber中加上01., 也就是:

1
[root@WWW newcerts]# echo 01 > /etc/pki/CA/crlnumber

最后一步, 更新证书吊销列表:

1
2
[root@WWW newcerts]# openssl ca -gencrl -out /etc/pki/CA/crl/httpd.crl
Using configuration from /etc/pki/tls/openssl.cnf

以上.