openssh及openssl建立私有CA

阿新 • • 發佈：2020-10-09

ssh:secure shell，protocol ,監聽TCP22，提供安全的遠端登陸服務

OpenSSH：ssh協議的開源實現

dropbear：另一個開源實現

SSH協議版本：

V1：基於CRC-32做MAC（訊息認證碼），不安全：容易受man-in-middle***

v2:雙方主機協議選擇安全的MAC方式

基於DH演算法做祕鑰交換，基於RSA或DSA演算法實現身份認證

兩種方式的使用者登入認證：

口令：基於Passwd

基於KEY

OpenSSH：

C/S

C:ssh,scp,sftp

windows客戶端：Xshell,putty,securecrt,sshsecureshellclient

S:sshd

客戶端元件：

ssh，配置檔案：/etc/ssh/ssh_config

格式：ssh [[email protected]]host [COMMAND] （省略表示當前系統上的當前登入使用者，linux系統）

ssh [-l user] host [COMMAND]（-l表示指明login User）

-p port：遠端伺服器監聽埠預設22埠

-X: 支援x11轉發；

-Y：支援信任的x11轉發；

host PATTERN

PARAMETER VALUE

[[email protected]~]#ssh

[email protected]'hostname' 不登陸而執行命令

基於祕鑰的認證：

（1）在客戶端生成祕鑰對兒

ssh -t rsa [-P ''][-f "~/.ssh/id_rsa"]

（2）把公鑰傳輸至遠端伺服器對應使用者的家目錄

ssh-copy-id [-i [identity_file]] [[email protected]]machine

（3）測試

scp命令：跨主機的複製命令

scp [options] SRC... DEST/

存在兩種情形：

PULL:scp [options] [[email protected]

]host:PATH/TO/SOMEWHERT /PATH/TO/SOMEWHERE

PUSH:scp [options] /PATH/FROM/SOMEFILE [[email protected]]host:/PATH/TO/SOMEWHERE

常用選項：

-r：遞迴複製，複製目錄使用

-p：保持原始檔的屬性資訊

-q：靜默模式

-P：PORT：指明remote host監聽的埠

-X：

sftp命令：

sftp [[email protected]]host

sftp> help

伺服器端：

sshd，配置檔案：/etc/ssh/sshd_config

常用引數：

port：22022

ListenAddress ip

PermitRootLogin yes 是否允許root登陸

限制可登陸使用者方法：

AllowUsers user1 user2（空格分開）

AllowGroups

SSH服務的最佳實踐：

1、不要使用預設埠：

2、禁止使用protocol version 1

3、限制可登陸使用者：（配置檔案新增AllowUsers root centos行）

4、設定空閒會話超時時長

5、利用防火牆設定ssh訪問策略

6、僅監聽特定的IP地址

7、基於口令認證時，使用強密碼策略，不容伺服器使用不同密碼

# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、儘可能使用基於祕鑰的認證

9、禁止使用空密碼

10.禁止root使用者直接登入

11.限制SSH的訪問頻度和同併發線上數量

12.做好日誌，經常做分析

ssh協議的另一個實現：dropbear

(1) dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key

dropbear -p [ip:]port -F -E

OpenSSL

三個元件：

openssl：多用途的命令列工具：

libcrypto：加密解密庫

libssl：ssl協議的實現

PKI：Public Key Infrastructure

CA：發證機構

RA：註冊機構

CRL：證書吊銷列表

證書存取庫

建立私有CA：

OpenCA

openssl

證書申請及簽發步驟：

1、生成申請請求

2、RA核驗

3、CA簽署

4、獲取證書並使用

如何建立私有CA：

openssl的配置檔案：/etc/pki/tls/openssl.cnf

（1）建立所需要的檔案

# touch index.txt

# echo 01 > serial

（2）CA自簽證書

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out/etc/pki/CA/cacert.pem

-new: 生成新證書籤署請求；

-x509: 專用於CA生成自簽證書；

-key: 生成請求時用到的私鑰檔案；

-days n：證書的有效期限；

-out /PATH/TO/SOMECERTFILE: 證書的儲存路徑；

(3) 發證

(a) 用到證書的主機生成證書請求；

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

(b) 把請求檔案傳輸給CA；

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

檢視證書中的資訊：

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

(4) 吊銷證書

(a) 客戶端獲取要吊銷的證書的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(b) CA

先根據客戶提交的serial與subject資訊，對比檢驗是否與index.txt檔案中的資訊一致；

吊銷證書：

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

# echo 01 > /etc/pki/CA/crlnumber

(d) 更新證書吊銷列表

# openssl ca -gencrl -out thisca.crl

檢視crl檔案：

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

部落格作業：加密解密基礎、PKI及SSL、建立私有CA；

轉載於:https://blog.51cto.com/chaochao3/1698977

openssh及openssl建立私有CA

ssh:secure shell，protocol ,監聽TCP22，提供安全的遠端登陸服務 OpenSSH：ssh協議的開源實現

資料加密解密及openssl建立CA

資料的安全性：保密性：C 資料保密性隱私性完整性：I 資料完整性系統完整性

建立私有CA和頒發證書

證書申請及簽署步驟：　　1、生成申請證書　　2、RA核驗　　3、CA簽署　　4、獲取證書

【08-01】建立私有CA並進行證書申請

建立私有CA並進行證書申請。 0.建立私有CA的準備建立私有CA的過程：建立私有CA

建立私有CA並進行證書申請

由於很多時候做實驗需要用到證書，就需要自己搭建一個私有CA來給自己頒發證書。同時通過整理建立CA和申請證書、吊銷證書的過程加深自己的理解.

openssl建立CA中心

openssl建立CA中心實驗用了三臺機： CA中心：server1.example.com(192.168.10.254) mail server: station20.example.com(192.168.10.20)

【轉載】OpenSSL自建CA和簽發二級CA及頒發SSL證書

自己簽發CA證書再簽發伺服器證書的場景非常簡單。把根CA證書匯入到瀏覽器後，就可以信任由這個根CA直接簽發的伺服器證書。但是實際上網站使用的證書肯定都不是由根CA直接簽發的，比如

openssl建立的自簽名證書，使用自簽發證書--指定使用多域名、泛域名及直接使用IP地址

openssl建立的自簽名證書，使用自簽發證書--指定使用多域名、泛域名及直接使用IP地址在開發環境及私有環境下需要使用SSL，於是建立自簽發證書，而必須支援多域名、泛域名、直接IP訪問1. 編譯安裝nginx1.8.1，支援ht

mysql儲存過程之建立（CREATE PROCEDURE）和呼叫（CALL）及變數建立（DECLARE）和賦值（SET）操作方法

本文例項講述了mysql儲存過程之建立（CREATE PROCEDURE）和呼叫（CALL）及變數建立（DECLARE）和賦值（SET）操作方法。分享給大家供大家參考，具體如下：

Oracle 12c實現手工建庫而非CDB及CDB建立的方法

前言相信大家應該都知道，對於Oracle資料庫的建立，Oracle除了支援dbca(GUI介面)，同時也支援手工方式建立資料庫，即使用CREATE DATABASE語句建立資料庫。使用此語句對使用DBCA的一個優點是可以從指令碼內建立資料庫

Django框架安裝及專案建立過程解析

1、安裝Django 在命令列模式下使用pip工具來安裝Django，pip工具的安裝方法見此篇

SSL及OpenSSL使用

一、SSL簡介 1.SSL:securesocketlayer（安全套接層）為網路通訊提供安全及資料完整性的一種安全協議，囊括了主要的單向加密、對稱加密、非對稱加密演算法、常用的金鑰和證書封裝管理功能以及SSL協議。

Numpy入門（1） - 資料型別及陣列建立

常量 NumPy中常見常量共4種。 1. numpy.nan 表示空值。其中 nan = NaN = NAN import numpy as np

Task01：資料型別及陣列建立（2天）

1.常量（1）兩個numpy.nan是不相等的。np.isnan(x) 對NaN逐個元素進行測試，並以布林陣列返回結果

DataWhale（numpy）：task1 資料型別及陣列建立

語法知識 1.MATLAB有14種不同的資料型別，每一資料型別都是以陣列方式出現。其中矩陣被稱為二維陣列，使用者定義的資料型別作為結構陣列的子集 2.字串是以ASCII碼儲存，一個字串在matlab中是作為一位陣列，

docker 建立私有倉庫

介紹本文介紹docker 如何建立私有倉庫，如何將本地映象 push 到私有倉庫，如何檢視私有倉庫的映象，如何從私有倉庫中Pull 映象等。本次採用windows docker 來演示（採用 linux 系統CentOS 中的dockder 也類似）。

Django中專案和應用程式的區別及如何建立應用程式

在Django中，專案：被視為基於某些設定項的Django安裝結果；應用程式：表示為模型、檢視、模板、以及URL的組合；

建立一個CA證書

首先先下載一個openssl :http://slproweb.com/products/Win32OpenSSL.html 1、生成RSA金鑰的方法openssl genrsa -des3 -out privkey.pem 2048這個命令會生成一個2048位的金鑰，同時有一個des3方法加密的密碼，如果你

Python併發程式設計之訊息佇列補充及如何建立執行緒池（六）

大家好，併發程式設計進入第六篇。在第四章，講訊息通訊時，我們學到了Queue訊息佇列的一些基本使用。昨天我在準備如何建立執行緒池這一章節的時候，發現對Queue訊息佇列的講解有一些遺漏的知識點，而這些知識點，

淺析ref和reactive/toRefs響應式原理及reactive建立的響應式物件解構後失去響應式的原因分析

一、reactive 建立的響應式物件解構後為什麼會失去響應式　　Vue 擁有一個響應式系統，可以讓它在資料更新的時候自動進行檢視的更新。在Vue3.0中，可以使用 reactive 宣告響應式狀態。文件說不要解構 reactive 建立

openssh及openssl建立私有CA

相關推薦