跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Server 文档 / 安全和强化指南 / 网络安全性 / 使用 XCA、X 证书和密钥管理器管理 PKI
适用范围 SUSE Linux Enterprise Server 15 SP5

25 使用 XCA、X 证书和密钥管理器管理 PKI

传统上,您自己的公共密钥基础架构 (PKI) 是使用 openssl 实用程序管理的。对于偏好使用图形工具的管理员,SUSE Linux Enterprise Server 15 SP5 提供了 XCA,即 X 证书和密钥管理工具 (http://hohnstaedt.de/xca)。

XCA 可创建和管理 X.509 证书、证书请求、RSA、DSA 和 EC 私用密钥、智能卡以及证书吊销列表 (CRL)。XCA 会为您提供创建和管理自己的证书颁发机构 (CA) 所需的一切支持。XCA 包含可用于生成证书或请求的可自定义模板。本章将介绍基本设置。

25.1 安装 XCA

XCA 由 xca 软件包提供:

> sudo zypper in xca

25.2 创建新 PKI

XCA 将所有加密数据都存储在数据库中。当您首次使用 XCA 创建新 PKI 时,首先必须单击文件 > 新建数据库创建一个新数据库(图 25.1 “创建新 XCA 数据库”)。

创建新 XCA 数据库
图 25.1︰ 创建新 XCA 数据库

25.2.1 创建新的根 CA

以下步骤说明如何创建新的根 CA。

  1. 单击证书选项卡。

  2. 单击新建证书按钮。

  3. 单击选项卡。在窗口底部的新证书的模板下,选择 [默认] CA 模板,然后单击全部应用

  4. 单击主体选项卡。创建一个内部名称用于在内部标识新的根 CA(仅在 XCA 内部)。

    填写判别名部分中的字段。使用添加按钮添加任何其他元素(如果需要)。

  5. 私用密钥下拉列表中选择您的首选私用密钥(如果有),或者生成一个新密钥。

  6. 单击扩展选项卡。根据需要编辑任何属性。默认时间范围为 10 年。证书吊销列表分发点将成为颁发的证书的一部分。最好为所有证书使用一个通用 URL,例如 http://www.example.com/crl/crl.der。完成后,单击确定按钮。

25.2.2 创建已签名的主机证书

下一步是创建由新证书颁发机构签名的主机证书。

  1. 单击证书选项卡,然后单击新建证书按钮。

  2. 选项卡上选择 [默认] TLS_server,然后单击全部应用按钮。这样会在扩展密钥用途Netscape 选项卡中输入相应的值。在签名部分,选择在第 25.2.1 节 “创建新的根 CA”中创建的证书。

  3. 单击主体选项卡。创建一个用于在 XCA 中显示的内部名称。最好使用主机名或完全限定的域名。然后填写判别名部分中的字段。对于主机证书,通用名必须是您的用户使用的 FQDN。此名称可以是主机的规范名称,也可以是别名。例如,如果 jupiter.example.com 是您的 Web 服务器,并且它具有 DNS CNAME 项 www.example.com,那么,您可以使用 www.example.com 作为证书中的 commonName 值。要在判别名中添加任何其他组成部分,请使用下拉框和“添加”按钮。选择所需的私用密钥,或生成一个新密钥。

  4. 单击扩展选项卡。默认时间范围为 1 年。如果您更改了此设置,请单击应用按钮。

  5. 建议指定证书吊销列表位置。此根证书的位置必须是唯一的。XCA 以 PEM 或 DER 格式导出 CRL 并会添加相应的后缀,因此在选择 URL 时应考虑到这点,例如,选择 http://www.example.com/crl/crl.der 这样的 URL。在 CRL 分发点行中,单击编辑按钮。键入您的 URI,然后单击添加。单击验证应用

    单击确定按钮。

25.2.3 吊销证书

  1. 单击证书选项卡。

  2. 右键单击您要吊销的证书,然后单击吊销

  3. 右键单击为您要吊销的证书签名的 CA 证书。单击 CA > 生成 CRL

    创建 CRL 对话框中单击确定按钮。

  4. 在主窗口中单击吊销列表选项卡。右键单击刚刚生成的 CRL 并选择导出。选择所需的格式 (DER),然后单击确定

    将导出的 CRL 复制到所颁发证书的 CRL 分发点中发布的位置。