10、SUSE Linux 安全与加密：证书、CRL 及 GPG 的使用指南

SUSE Linux 安全与加密：证书、CRL 及 GPG 的使用指南

1. 创建子 CA 及证书

在输入密码后打开的对话框中，选择“Advanced”和“Create SubCA”。之后重复创建根 CA 的步骤来创建子 CA。完成子 CA 的创建后，就可以为个人或主机颁发由子 CA 签名的单个证书。

使用 YaST 创建由 CA 签名的证书，具体步骤如下：
1. 进入子 CA 并选择“Certificates”选项卡。
2. 在“Add”下，选择“Add Server Certificate”。
3. 后续对话框与创建根 CA 时非常相似，要特别注意左侧关于通用名称的注释，否则证书与主机名不匹配会导致错误信息。
4. 选择“Next”打开下一个对话框，需注意证书的有效期不能长于 CA 的有效期。
5. 再次选择“Next”后，输入信息会被汇总，若信息无误，选择“Create”创建证书，证书将列在子 CA 的概述对话框中。

要在目标服务器上使用该证书，需将其导出并传输到服务器。选择“Export”，并根据需求选择合适的选项。导出证书和私钥有多种选择，具体取决于使用方式和软件要求。例如，Apache 网络服务器使用的私钥可以加密，但每次启动 Apache 时都需要输入密码短语；而像 stunnel 这类程序在启动时不提供输入密码短语的对话框，因此需要未加密的私钥。

2. 使用 YaST 创建证书吊销列表（CRL）

创建证书吊销列表（CRL）有两个主要步骤：
1.吊销证书：
- 进入 CA。
- 选择“Certifica