Easy-RSA 3快速入門自述文件
這是使用Easy-RSA版本3的快速入門指南。運行./easyrsa -h可以找到有關使用和特定命令的詳細幫助。可以在doc /目錄中找到其他文檔。
如果您從Easy-RSA 2.x系列升級,則可以使用doc-path下的Upgrade-Notes。
以下是啟動新PKI並簽署您的第一個實體證書需要進行的快速運行:
-
選擇一個系統作為您的CA並創建一個新的PKI和CA:
./easyrsa init-pki ./easyrsa build-ca
-
在請求證書的系統上,初始化其自己的PKI並生成密鑰對/請求。請注意,僅當在單獨的系統(或至少單獨的PKI目錄)上完成此操作時才使用init-pki 。這是建議的過程。如果您未使用此建議過程,請跳過下一個import-req步驟。
./easyrsa init-pki ./easyrsa gen-req EntityName
-
將請求(.req文件)傳輸到CA系統並導入它。此處給出的名稱是任意的,僅用於命名請求文件。
./easyrsa import-req /tmp/path/to/import.req EntityName
-
將請求簽名為正確的類型。此示例使用客戶端類型:
./easyrsa sign-req client EntityName
-
將新簽名的證書傳輸到請求實體。除非事先有副本,否則該實體可能還需要CA證書(ca.crt)。
-
該實體現在擁有自己的密鑰對,簽名證書和CA.
按照上面的步驟2-6生成后續密鑰對,並讓CA返回簽名證書。
這是CA特定的任務。
要永久撤消已頒發的證書,請提供導入期間使用的短名稱:
./easyrsa revoke EntityName
要創建包含所有已撤銷的證書的更新CRL,請執行以下操作:
./easyrsa gen-crl
生成后,需要將CRL發送到引用它的系統。
初始化PKI后,任何實體都可以創建需要它們的DH參數。這通常僅由TLS服務器使用。雖然CA PKI可以生成這個,但在服務器本身上執行它更有意義,以避免在生成后將文件發送到另一個系統。
DH params可以生成:
./easyrsa gen-dh
要通過引用短EntityName來顯示請求或證書的詳細信息,請使用以下命令之一。沒有匹配的文件調用它們是錯誤的。
./easyrsa show-req EntityName ./easyrsa show-cert EntityName
RSA和EC私鑰可以重新加密,因此可以使用以下命令之一提供新密碼,具體取決於密鑰類型:
./easyrsa set-rsa-pass EntityName ./easyrsa set-ec-pass EntityName
可選地,可以使用'nopass'標志完全刪除密碼短語。有關詳細信息,請參閱命令幫助