2. 程式人生 > >CA認證和證書

CA認證和證書

阿新 發佈:2017-09-30
ca認證

獲取證書的兩種方法:

  • 使用證書授權機構

生成簽名請求(csr)

將csr發送給CA

從CA處接收簽名

  • 自簽名證書

    自己簽發自己的公鑰

自建CA頒發機構和自簽名

實驗用兩臺機器,一臺做CA頒發證書,一臺做客戶端身申請證書

證書申請以及簽署的步驟:

1、生成申請請求

2、CA核驗

3、CA簽署

4、獲取證書

在實驗開始之前,我們先來看一下openssl的配置文件:/etc/pki/tls/openssl.cnf

1.   [ ca ]
2.   default_ca   = CA_default              # The default ca section(默認的CA配置,是CA_default,下面第一個小節就是)
3.   ####################################################################
4.   [ CA_default ]
5.   dir          = /etc/pki/CA             # Where everythingis kept (dir變量)
6.   certs                 = $dir/certs              # Where the issued certs are kept(認證證書目錄)
7.   crl_dir               = $dir/crl                # Where the issued crl are kept(註銷證書目錄)
8.   database     = $dir/index.txt # database indexfile.(數據庫索引文件)
9.   new_certs_dir = $dir/newcerts           # default place for new certs.(新證書的默認位置)
10.  certificate  = $dir/cacert.pem         # The CA certificate(CA機構證書)
11.  serial                = $dir/serial             # The current serial number(當前序號,默認為空,可以指定從01開始)
12.  crlnumber    = $dir/crlnumber # the current crlnumber(下一個吊銷證書序號)# must be commented out to leave a V1 CRL
13.  crl          = $dir/crl.pem            # The current CRL(下一個吊銷證書)
14.  private_key  = $dir/private/cakey.pem# The private key(CA機構的私鑰)
15.  RANDFILE     = $dir/private/.rand      # private randomnumber file(隨機數文件)
16.  x509_extensions       = usr_cert                # The extentions toadd to the cert
17.  # Comment out the following two lines for the "traditional"
18.  # (and highly broken) format.
19.  name_opt      = ca_default              # Subject Nameoptions(被頒發者,訂閱者選項)
20.  cert_opt      = ca_default              # Certificate fieldoptions(認證字段參數)
21.  # Extension copying option: use with caution.
22.  # copy_extensions = copy
23.  # Extensions to add to a CRL. Note: Netscape communicator chokes on V2CRLs
24.  # so this is commented out by default to leave a V1 CRL.
25.  # crlnumber must also be commented out to leave a V1 CRL.
26.  # crl_extensions      = crl_ext
27.  default_days = 365                     # how long to certify for (默認的有效期天數是365)
28.  default_crl_days=30                    # how long before next CRL
29.  default_md   = sha256         # use SHA-256 by default
30.  preserve     = no                      # keep passed DN ordering
31.  # A few difference way of specifying how similar the request should look
32.  # For type CA, the listed attributes must be the same, and the optional
33.  # and supplied fields are just that :-)
34.  policy                = policy_match  # 是否匹配規則
35.  # For the CA policy
36.  [ policy_match ]
37.  countryName           = match   # 國家名是否匹配,match為匹配
38.  stateOrProvinceName   = match # 州或省名是否需要匹配
39.  organizationName      = match # 組織名是否需要匹配
40.  organizationalUnitName         = optional # 組織的部門名字是否需要匹配
41.  commonName            = supplied # 註釋
42.  emailAddress          = optional # 郵箱地址
43.  # For the ‘anything‘ policy
44.  # At this point in time, you must list all acceptable ‘object‘
45.  # types.
46.  [ policy_anything]
47.  countryName           = optional
48.  stateOrProvinceName   = optional
49.  localityName          = optional
50.  organizationName      = optional
51.  organizationalUnitName         = optional
52.  commonName            = supplied
53.  emailAddress          = optional
1.   dir         = /etc/pki/CA        # Where everything is kept
2.   certs        = $dir/certs        # Where the issued certs are kept
3.   database      = $dir/index.txt        # database index file.
4.   new_certs_dir   = $dir/newcerts         # default place for new certs.
5.   certificate     = $dir/cacert.pem       # The CA certificate
6.   serial       = $dir/serial           # The current serial number
7.   private_key     = $dir/private/cakey.pem# The private key

1、創建所需要的文件

touch /etc/pki/CA/index.txt 生成證書索引數據庫文件

echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號

2、 CA自簽證書

生成私鑰

(umask 066; openssl genrsa-out /etc/pki/CA/private/cakey.pem -des 2048)

生成自簽名證書


openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

CA認證和證書

相關推薦

CA認證證書

ca認證獲取證書的兩種方法: 使用證書授權機構 生成簽名請求(csr) 將csr發送給CA 從CA處接收簽名 自簽名證書 自己簽發自己的公鑰自建CA頒發機構和自簽名實驗用兩臺機器,一臺做CA

自建CA認證證書

一些概念: PKI:Public Key Infrastructure 簽證機構:CA(Certificate Authority) 註冊機構:RA(Register Authority) 證書吊銷列表:CRL(Certificate Revoke L

雲合同線上電子簽章:怎麼做CA認證線上電子印章?

CA,Certificate Authority,電子商務認證授權機構,也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。 CA中心為每個使用公開金鑰

Windows Server2008、IIS7啟用CA認證證書製作完整過程

1新增活動目錄證書服務 1.1開啟伺服器管理器,右鍵點選角色,選擇“新增角色”,在“新增角色嚮導”視窗左側面板選擇“伺服器角色”,然後勾選“Active Directory證書服務”,如下圖:   1

數字簽名,數字證書CA認證等概念理解

ca 認證 https openssl 本文將介紹數字簽名,數字證書以及CA相關知識。 加密相關知識可見我的上一篇博文:http://watchmen.blog.51cto.com/6091957/1923426本文參考文獻引用鏈接:1、https://www.zhihu.com

CA自建證書申請

linux自建ca和證書頒發CA簡介:CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證

CA證書

linux1、概念PKI: Public Key Infrastructure簽證機構:CA(CertificateAuthority)註冊機構:RA證書吊銷列表:CRL證書存取庫:X.509:定義了證書的結構以及認證協議標準版本號 主體公鑰序列號 CRL分發點簽名算法

安全與加密-SSL交互與握手過程 創建CA證書管理

ror 描述 sin code oss shadow pro back 自簽名證書 上一篇章中我們講了使用gpg和openssl加密公鑰進行安全數據通訊的場景。可是,網絡中總是有不懷好意的角色存在,別以為你以公鑰加密了就是安全的,有沒有想過,你得到的這個公鑰是不是真正要跟你

私有CA證書

傳輸 same ica ca簽署 .cn 數字證書 struct stat 派出所 證書類型 證書授權機構的證書 服務器 用戶證書 獲取證書兩種方法 使用證書授權機構: 生成簽名請求(csr ) 將csr發送給

私有CA的創建證書的申請

需要 配置文件 nag 查看 img nss 文件 ima crt 創建CA和申請證書 1、創建私有CA和所需要的文件openssl的配置文件:/etc/pki/tls/openssl.cnftouch /etc/pki/CA/index.txt 生成證書索引數據庫文件ec

Linux的安全加密篇(二)CA證書原理

CA和證書 PKI: Public Key Infrastructure  簽證機構: CA( Certificate Authority) 註冊機構: RA 證書吊銷列表: CRL 證書存取庫: X.509:定義了證書的結構以及認證協議標準 版本號   

搭建CA,二級CA簽發證書

1 搭建CA 1.1 環境的搭建 首先建立CA目錄,所有與CA相關的內容都包含在這個資料夾中。然後在這個目錄下再建立2個資料夾newcerts和private,分別用於存放CA釋出的證書和CA的私鑰。另外還需要建立3個檔案,第一個檔案用來追蹤已經發布的證書的序列號,因為每個

Java爬蟲(七)- httpClient進階: https 證書認證(講故事篇)

一、前言 本篇風格會偏向講故事,來記錄整個發現問題,解決問題的過程。具體的知識點總結放在後一篇。 前段陣子被分配了一個工單,要求抓取另一個險企B的資料。想著應該不會比上一家A麻煩了,險企A抓取資料過程中有幾次請求是跨域的,很多資料都是由ajax動態請求到的,

SSL CA客戶端證書雙向認證IIS配置及程式碼驗證

1。申請一個SSL證書       我是在騰訊雲上申請了一個免費的證書,申請後下載證書,部署到伺服器,部署過程參照以下(從騰訊證書安裝指南Copy過來的  https://www.qcloud.com/document/product/400/4143 ) 3. IIS

自簽名證書私有CA簽名的證書的區別 建立自簽名證書 建立私有CA 證書型別 證書副檔名

自簽名的證書無法被吊銷,CA簽名的證書可以被吊銷 能不能吊銷證書的區別在於,如果你的私鑰被黑客獲取,如果證書不能被吊銷,則黑客可以偽裝成你與使用者進行通訊 如果你的規劃需要建立多個證書,那麼使用私有CA的方法比較合適,因為只要給所有的客戶端都安裝了CA的證書,那麼以該

SSL雙向認證以及證書的製作使用-https+客戶端身份驗證

客戶端認證伺服器: 正規的做法是:到國際知名的證書頒發機構,如VeriSign申請一本伺服器證書,比如支付寶的首頁,點選小鎖的圖示,可以看到支付寶是通過VeriSign認證頒發的伺服器證書: 我們用的操作系統(windows, linux, unix ,android, ios等)都預置了很多信任的根證

CA證書(企業內網搭建CA服務器生成自簽名證書CA簽署,實現企業內網基於key驗證訪問服務器)

file type ima 1.5 x509 項目 索引 分享 是否 一些CA基礎 PKI:Public Key Infrastructure簽證機構:CA(Certificate Authority)註冊機構:RA證書吊銷列表:CRL X.509:定義了證書的結構以及

ppp CHAP認證PAP認證

challenge upload chap unity pass 推薦 查找 class 用戶密碼 CHAP認證過程: 、 CHAP單向驗證過程分為兩種情況:驗證方配置了用戶名和驗證方沒有配置用戶名。推薦使用驗證方配置用戶名的方式,這樣可以對驗證方的用戶名進行確認。

TL認證運作經典案例評選

部門 研發 性問題 文化 案例 成功 推廣 推出 評選 評選背景: 1、TL能力模型推出一年多時間以來,各地區、部門的TL認證和運作如火如荼,中開社上已有部分案例輸出; 2、有部門在認證和運作上希望能借鑒優秀案例的經驗

【Spring-Security】【1】認證授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和