正文
cd /etc/ipsec.d
# root CA 的 RSA 私钥:
ipsec pki --gen --type rsa \
--size 4096 --outform pem \
> private/rootCAKey.pem
# 然后使用 root CA 私钥自签署 root CA 的根证书:
ipsec pki --self --ca --lifetime 3650 \
--in private/rootCAKey.pem --type rsa \
--dn "C=CN, O=my_company_name, CN=my_root_CA" \
--outform pem > cacerts/rootCACert.pem
# 注:
# CN=my_root_CA 是 CA 身份标识, 必填
# 其他字段都是辅助信息, 一般具有三个字段 "C=*, O=*, CN=*" 就够了
# C=US 字段是国家代码: US美国 CN中国 CH瑞士(注意CH不是中国)
# O=my_company_name 是自定义的组织机构名称
# 创建Server私钥
ipsec pki --gen --type rsa --size 2048 \
--outform pem > private/strongSwanServerKey.pem
# CA 签发对应 Server 私钥的公钥证书
# 主机名(域名)证书
ipsec pki --pub --in private/strongSwanServerKey.pem --type rsa | \
ipsec pki --issue --lifetime 730 \
--cacert cacerts/rootCACert.pem \
--cakey private/rootCAKey.pem \
--dn "C=CN, O=my_company_name, CN=x86box1.example.com" \
--san x86box1.example.com \
--flag serverAuth --flag ikeIntermediate \
--outform pem > certs/strongSwanServerCert.pem
# IP 地址证书 192.168.0.97
ipsec pki --pub --in private/strongSwanServerKey.pem --type rsa | \
ipsec pki --issue --lifetime 730 \
--cacert cacerts/rootCACert.pem \
--cakey private/rootCAKey.pem \
--dn "C=CN, O=my_company_name, CN=192.168.0.97" \
--san 192.168.0.97 \
--flag serverAuth --flag ikeIntermediate \
--outform pem > certs/strongSwanServerCert_192_168_0_97.pem
数字证书中主题(Subject)中字段的含义
一般的数字证书产品的主题通常含有如下字段
:
-
公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;
-
单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端单位证书则为证书申请者所在单位名称;
-
证书申请单位所在地:
-
所在城市 (Locality) 简称:L 字段
-
所在省份 (State/Provice) 简称:S 字段
-
所在国家 (Country) 简称:C 字段,只能是国家字母缩写,如中国:CN
其他一些字段
:
