2. 程式人生 > >CA自建和證書申請

CA自建和證書申請

阿新 發佈:2017-09-24
linux自建ca和證書頒發

CA簡介:CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。

證書簡介:現在我們通過瀏覽器訪問網站,一般都有證書的,這些證書就是有CA頒發的,證明你這個網站是可靠的,尤其是一些購物網站,如:淘寶,京東,我們可以查看網站的源碼來查看他的證書(F12)找到Security查看。

LINUX模擬CA的建立和證書的申請

如何實現:

我們模擬把主機A當做根CA自建一個,主機B通過Openssl命令來模擬申請證書。

openssl配置文件:

/etc/pki/tls/openssl.cnf 我們找到CA和policy_match部分了解CA相關文件的存放和證書存放的文件。


dir= /etc/pki/CA CA相關文件的主目錄

certs= $dir/certs 存放發布證書的文件

crl_dir= $dir/crl 證書吊銷列表

database= $dir/index.txt 證書編號[默認不存在,要手動創建,不然會報錯]

new_certs_dir= $dir/newcerts 新頒發證書存放目錄

certificate= $dir/cacert.pem CA服務端的自簽名證書

serial= $dir/serial 下一個將要頒發證書的序列號 [

默認不存在,要手動創建,不然會報錯]

crlnumber= $dir/crlnumber 吊銷證書的編號

crl= $dir/crl.pem 吊銷證書存放的文件

private_key= $dir/private/cakey.pem證書的私鑰存放文件


policy= policy_match

# For the CA policy

[ policy_match ]

countryName= match 國家

stateOrProvinceName= match 省市

organizationName= match 公司名稱

organizationalUnitName= optional 公司單元名 可以不填 隨便怎麽翻譯吧

= =

commonName= supplied 名字

emailAddress= optional 郵箱

其中match表示自建根CA和申請證書時所填信息必須一致,optional可寫可不寫,supplied要寫可以不一樣。


主機A的配置

建立文件:

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

技術分享

生成私鑰文件

命令:(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048)

括號裏定義umask進入子進程,只修改私鑰文件的權限 -des3是對私鑰文件進行加密 [文件名是特定的,不能更改]


生成一個自簽名CA證書

openssl req -new -x509 –key/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem [文件名是特定的,不能更改]

-new: 生成新證書簽署請求

-x509: 專用於CA生成自簽證書

-key: 生成請求時用到的私鑰文件

-days n:證書的有效期限

-out /PATH/TO/SOMECERTFILE: 證書的保存

技術分享自簽名CA填寫信息如上圖,根據policy可知其中前124選項為match必須匹配,第5選項為supplied,為頒發者的名字,其他可以不填。


這樣我們的自簽名CA的相關文件就準備好了。

技術分享


主機B的配置:

生成自己的私鑰:還是一樣的命令

(umask 066;openssl genrsa -out /etc/pki/tls/private/wrz.key 2048)2048 指定位數

生成證書申請文件

openssl req -new -key /etc/pki/tls/private/wrz.key -days 365 -out /etc/pki/tls/wrz.csr 這是出現的界面和生成自簽CA一樣,需要填寫信息

技術分享

其中124選項在policy中為match,所以要和自簽CA時填寫的一致,第6項為被頒發的名稱。其他可填可不填。

將證書申請文件發送到主機A上:scp /etc/pki/tls/wrz.csr 192.168.109.159:/etc/pki/CA/


主機A收到證書申請文件

CA簽署證書,給請求者頒發證書

命令:openssl ca -in /etc/pki/tls/wrz.csr -out /etc/pki/CA/certs/wrz.crt -days 365 然後出現技術分享確認信息無誤後就可以簽名頒發證書了。

用sz命令把linux上生成的證書發送到Windows上,修改下後綴為.per 安裝證書,這樣就完成了自簽CA和證書頒發的過程。技術分享

CA自建和證書申請

相關推薦

CA證書申請

linux自建ca和證書頒發CA簡介:CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證

私有CA的創證書申請

需要 配置文件 nag 查看 img nss 文件 ima crt 創建CA和申請證書 1、創建私有CA和所需要的文件openssl的配置文件:/etc/pki/tls/openssl.cnftouch /etc/pki/CA/index.txt 生成證書索引數據庫文件ec

基於 OpenSSL CA 頒發 SSL 證書

原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 頒發證書不僅可以用來鑑權,而且使你的通訊更加的安全(請保護好你的證書)。在實際的軟體開發中,越來越多的服務用到 HTTPS,證書的需求隨之增加

基於OpenSSLCA頒發SSL證書

openssl是一個開源程式的套件、這個套件有三個部分組成:一是libcryto,這是一個具有通用功能的加密庫,裡面實現了眾多的加密庫;二是libssl,這個是實現ssl機制的,它是用於實現TLS/SSL的功能;三是openssl,是個多功能命令列工具,它可以實現加密解密,甚至還可以當CA來用,可以讓你建立證

CA認證證書

一些概念: PKI:Public Key Infrastructure 簽證機構:CA(Certificate Authority) 註冊機構:RA(Register Authority) 證書吊銷列表:CRL(Certificate Revoke L

CA證書

ech data- city lease ber after .cn cal match 創建CA自簽證書 1,創建CA服務器的私鑰: (umask 0077;openssl genrsa -out cakey.pem 2048) 註意:將私鑰放在目錄下 /etc/pki/

Https、OpenSSLCA證書及簽發證書、nginx單向認證、雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

安全與加密-SSL交互與握手過程 創CA證書管理

ror 描述 sin code oss shadow pro back 自簽名證書 上一篇章中我們講了使用gpg和openssl加密公鑰進行安全數據通訊的場景。可是,網絡中總是有不懷好意的角色存在,別以為你以公鑰加密了就是安全的,有沒有想過,你得到的這個公鑰是不是真正要跟你

(13) openssl ca(簽署CA)

多選 bject 自建 stat ddr new eba 不重復 重新 用於簽署證書請求、生成吊銷列表CRL以及維護已頒發證書列表和這些證書狀態的數據庫。因為一般人無需管理crl,所以本文只介紹openssl ca關於證書管理方面的功能。 證書請求文件使用CA的私鑰簽署之後

無域名https服務端客戶端證書,nginxspring boot應用使用同一個證書 ,並解決chrome安全警告的問題

參考連結: 自簽發ssl證書 【spring boot】配置ssl證書實現https 一、生成nginx的證書與配置chrome安全告警的問題 1.安裝openssl 2.生成根證書 openssl req -x509 -nodes -days 146

linux安全加密篇(四)—openssl證書申請建立CA

OpenSSL證書申請 1、PKI: Public Key Infrastructure CA            證書頒發機構 RA            證書請求機構 request CRL          2、建立私有CA: 搭建CA OpenCA

Octavia 的 HTTPS 與、簽發 CA 證書

目錄 文章目錄 目錄 Octavia 為什麼需要自建 CA 證書? GenerateServerPEMTask CertComputeCreate Amphora Agent AmphoraAPIClient

CA 中心並簽發 CA 證書

目錄 文章目錄 目錄 CA 認證原理淺析 基本概念 PKI CA 認證中心(證書籤發) X.509 標準 證書 證書的簽發過程 自建 CA 簽發證書並認證 HT

OpenSSL CA及簽發證書

利用 OpenSSL 建立 CA 及自行簽發證書。 1. 建立CA目錄結構 在CA的配置檔案中,有說明預設CA的目錄。 建立預設CA下的目錄及檔案如下圖(.old檔案和.attr檔案是簽發證書後自動生成的檔案)。 其中, newcert

CA 頒發證書

原文地址: http://blog.csdn.net/erice_e/article/details/53486071 客戶端認證伺服器: 正規的做法是:到國際知名的證書頒發機構,如VeriSign申請一本伺服器證書,比如支付寶的首頁,點選小鎖的圖示,可以看到支付

CA與簽發證書

CA 簡介 在加密中,證書頒發機構或證書頒發機構(CA)是頒發數字證書的實體。數字證書通過證書的指定主題來證明公鑰的所有權。這允許其他人(依賴方)依賴簽名或關於與經認證的公鑰對應的私鑰的斷言。CA充當受信任的第三方 -由證書的主體(所有者)和依賴證書的一

HTTPS原理CA證書申請(轉)

原文地址:http://blog.51cto.com/11883699/2160032 眾所周知,WEB服務存在http和https兩種通訊方式,http預設採用80作為通訊埠,對於傳輸採用不加密的方式,https預設採用443,對於傳輸的資料進行加密傳輸 目前主流的網站基本上開始預設採用HTTPS作為通

debian 下 openssl證書SSL+apache [fix CA bug]

本文的主要目的是如何使用openssl生成伺服器和客戶端證書,並使用apache來搭建https伺服器,本文的內容主要來源於網上的其他的帖子,不過假如了一些修正: 1: 概念         A: SSL所使用的證書可以是自己建的生成的,也可以通過一個商業性CA如Ver

opensslCA及生成證書

檢視openssl版本 openssl version 使用openssl加密和解密檔案 加密檔案 opnessl有一個子命令enc,他可以用來加密檔案,具體引數如下: -ciphername:指定加密演算法 -in fil

信安實踐——CA證書搭建https伺服器

1.理論知識https簡介HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。超文字傳輸協