2. 程式人生 > >linux安全和加密篇(四)—openssl證書申請和建立CA

linux安全和加密篇(四)—openssl證書申請和建立CA

阿新 發佈:2018-12-13

OpenSSL證書申請

1、PKI: Public Key Infrastructure

  • CA            證書頒發機構
  • RA            證書請求機構 request
  • CRL         

2、建立私有CA: 搭建CA

  • OpenCA
  • openssl

3、證書申請及簽署步驟:

  • 1、生成申請請求 字尾位csr
  • 2、 RA核驗
  • 3、 CA簽署
  • 4、獲取證書

建立CA和申請證書

建立私有CA:

[[email protected] ~]# cd /etc/pki/tls/
[[email protected] tls]# ls
cert.pem  certs  misc  openssl.cnf  private

*******openssl的配置檔案: /etc/pki/tls/openssl.cnf CA重要配置檔案******

三種策略: 匹配、支援和可選

匹配指要求申請填寫的資訊跟CA設定資訊必須一致, 支援指必須填寫這項申請資訊, 可選指可有可無

openssl.cnf檔案中和證書相關的專案有

[[email protected] tls]# vim openssl.cnf

[ ca ]                                                   #default_ca預設ca 為 CA_default

default_ca = CA_default                 # The default ca section

[ CA_default ]

dir = /etc/pki/CA                          # Where everything is kept                                    (CA的工作目錄)

certs = $dir/certs                       # Where the issued certs are kept                          (頒發證書的目錄)

crl_dir = $dir/crl                          # Where the issued crl are kept                             (證書吊銷列表目錄)

database = $dir/index.txt          # database index file.                                               (證書資料庫索引檔案目錄)

index.txt             檔案預設不存在 需要手工建立,其中的內容由CA自動生成

new_certs_dir = $dir/newcerts                          # default place for new certs.                     (新證書的存放路徑)

certificate = $dir/cacert.pem                             # The CA certificate                                     ( CA的根證書存放檔案)

serial = $dir/serial                                               # The current serial number                         (證書編號 16進位制)

crlnumber = $dir/crlnumber                                # the current crl number                               (吊銷證書編號存放處)

crl = $dir/crl.pem                                                 # The current CRL                                         (證書吊銷列表檔案) 

private_key = $dir/private/cakey.pem               # The private key                                   ( CA證書私鑰)字尾必須命名為cakey.pem)

RANDFILE = $dir/private/.rand                          # private random number file                        ( 隨機檔案不重要)

default_days = 365                                            # how long to certify for                                 (證書預設有效期)

default_crl_days= 30                                         # how long before next                                     (CRL吊銷列表有效期釋出時間)

default_md = default                                          # use public key default MD                          ( 預設公鑰機密機制為MD5)

preserve = no                                                     # keep passed DN ordering                           ( 不重要)

CA策略問題 很重要

[ policy_match ]

countryName = match(CA所在的國家和客戶端必須相同)

stateOrProvinceName = match(省必須相同)

organizationName = match (組織必須相同)

organizationalUnitName = optional (部門)

commonName = supplied (給誰頒發的證書必須填)

emailAddress = optional (郵箱可選)

建立CA

1、建立所需要的檔案

[[email protected] CA]# touch /etc/pki/CA/index.txt

生成證書索引資料庫檔案    (預設為空檔案)

[[email protected] CA]# echo 01 > /etc/pki/CA/serial

 指定第一個頒發證書的序列號

2、 CA自簽證書

生成私鑰

  • cd /etc/pki/CA/
  • (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
[[email protected] ~]# cd /etc/pki/CA/

[[email protected] CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
.......................................................................................+++
...................................+++

生成自簽名證書

  • openssl req -new -x509 –key(私鑰的檔名)
  • /etc/pki/CA/private/cakey.pem -days 7300 -out
  • /etc/pki/CA/cacert.pem
  • -new: 生成新證書籤署請求
  • -x509: 專用於CA生成自簽證書
  • -key: 生成請求時用到的私鑰檔案       (private下的cakey.pem檔名)
  • -days n:證書的有效期限
  • -out /PATH/TO/SOMECERTFILE: 證書的儲存路徑
[[email protected] CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

Country Name (2 letter code) [XX]:CN                                    ##國家
State or Province Name (full name) []:beijing                           ##省份
Locality Name (eg, city) [Default City]:beijing                         ##城市
Organization Name (eg, company) [Default Company Ltd]:magedu            ##機構
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:ca.magedu.com
Email Address []:
[[email protected] CA]# ll
total 4
-rw-r--r--  1 root root 1322 Oct  5 11:12 cacert.pem
drwxr-xr-x. 2 root root    6 Aug  4  2017 certs
drwxr-xr-x. 2 root root    6 Aug  4  2017 crl
drwxr-xr-x. 2 root root    6 Aug  4  2017 newcerts
drwx------. 2 root root   23 Oct  5 11:07 private

同時也可以把CA證書匯出到windows中

[[email protected] CA]# sz cacert.pem 
rz
Starting zmodem transfer.  Press Ctrl+C to cancel.
Transferring cacert.pem...
  100%       1 KB       1 KB/sec    00:00:01       0 Errors

匯出後修改檔案字尾:cacert.pem.crt

[[email protected] CA]# openssl x509 -in cacert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            d4:a9:a8:07:a3:d3:fd:13
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=beijing, L=beijing, O=magedu, OU=opt, CN=ca.magedu.com
        Validity
            Not Before: Oct  5 03:12:54 2018 GMT
            Not After : Oct  2 03:12:54 2028 GMT
        Subject: C=CN, ST=beijing, L=beijing, O=magedu, OU=opt, CN=ca.magedu.com

***********************************檢視已經存在的CA證書*************************

客戶端向伺服器申請證書

3、頒發證書                                         

1、在需要使用證書的主機生成證書請求

給web伺服器生成私鑰

(umask 066; openssl genrsa -out    /etc/pki/tls/private/test.key 2048)

例子:生成私鑰的目錄可以根據需求放置

[[email protected] /etc/httpd 07:17:49]#(umask 066;openssl genrsa -out app.key 1024)
Generating RSA private key, 1024 bit long modulus
....................................................................++++++
....................++++++
e is 65537 (0x10001)

2、生成證書申請檔案

openssl req -new -key /etc/pki/tls/private/test.key   -days 365 -out etc/pki/tls/text.csr

[[email protected] /etc/httpd 07:19:57]#openssl req -new -key app.key  -out app.csr


Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:www.bgg.com
Email Address []:

***********注意:客戶端向伺服器申請證書時,填寫的國家、省份、組織,必須和CA證書相同

[[email protected] /etc/httpd 07:23:06]#ls
app.csr  app.key

3、將證書請求檔案傳輸給CA伺服器

[[email protected] /etc/httpd 07:25:32]#scp app.csr 192.168.161.130:/etc/pki/CA
[email protected]'s password: 
app.csr                                                   100%  647     0.6KB/s   00:00

4、CA簽署證書,並將證書頒發給請求者

[[email protected] CA]# openssl ca -in app.csr -out certs/app.crt -days 360
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct  5 06:15:04 2018 GMT
            Not After : Sep 30 06:15:04 2019 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = beijing
            organizationName          = magedu
            organizationalUnitName    = opt
            commonName                = www.bgg.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                62:B6:BA:94:C0:24:F1:B1:A1:37:20:C1:25:59:DA:A9:FA:65:C2:B1
            X509v3 Authority Key Identifier: 
                keyid:45:26:FF:3F:81:CF:80:5C:35:C5:4D:FB:E2:DE:DA:6E:63:35:9A:4E

Certificate is to be certified until Sep 30 06:15:04 2019 GMT (360 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
[[email protected] CA]# tree
.
├── app.csr
├── cacert.pem
├── certs
│   └── app.crt
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old
├── newcerts
│   └── 01.pem
├── private
│   └── cakey.pem
├── serial
└── serial.old

注意:預設國家,省,公司名稱三項必須和CA一致

[[email protected] CA]# sz certs/app.crt 
rz
Starting zmodem transfer.  Press Ctrl+C to cancel.
Transferring app.crt...
  100%       3 KB       3 KB/sec    00:00:01       0 Errors

匯出到windows中

如果預設國家,省,公司名稱三項必須和CA不一致,我們可以修改策略來解決證書頒發問題

[[email protected] tls]# vim /etc/pki/tls/openssl.cnf        ##修改策咯


[ policy_match ]
countryName             = match                           ##改為optional
stateOrProvinceName     = match                           ##改為optional
organizationName        = match
organizationalUnitName  = optional

 

********************************證書頒發完成*************************************

相關推薦

linux安全加密openssl證書申請建立CA

OpenSSL證書申請 1、PKI: Public Key Infrastructure CA            證書頒發機構 RA            證書請求機構 request CRL          2、建立私有CA: 搭建CA OpenCA

linux安全加密openssl工具CA證書

OpenSSL:開源專案 三個元件: openssl: 多用途的命令列工具,包openssl libcrypto: 加密演算法庫,包openssl-libs [[email protected] data]# openssl-libs libssl:加密模組

Linux安全加密CA證書原理

CA和證書 PKI: Public Key Infrastructure  簽證機構: CA( Certificate Authority) 註冊機構: RA 證書吊銷列表: CRL 證書存取庫: X.509:定義了證書的結構以及認證協議標準 版本號   

linux安全加密SSH隧道—動態埠轉發

SSH埠轉發 SSH 會自動加密和解密所有 SSH 客戶端與服務端之間的網路資料。但是, SSH還能夠將其他 TCP 埠的網路資料通過 SSH 連結來轉發,並且自動提供了相應的加密及解密服務。這一過程也被叫做“隧道”( tunneling),這是因為 SSH 為其他 T

linux安全加密SSH伺服器端相關配置

ssh伺服器  伺服器端: sshd, 配置檔案: /etc/ssh/sshd_config 常用引數: #Port 22 更改埠號 #AddressFamily any 地址支援格式any表示IPV4和IPV6都支援 #ListenAddress 0.0.0.

linux操作系統基礎

空閑 僵屍進程 標準 為什麽 嘗試 mount命令 性能分析 包含 put 系統監控 1. 系統監視和進程控制工具—top和free1) 掌握top命令的功能:top命令是Linux下常用的性能分析工具,能夠實時顯示系統中各個進程的資源占用狀況,類似於Windows的

Linux小白入門vim編輯器

vim [需要編輯的文字所在路徑] vim有三種工作模式 ① 一般模式(命令模式) ② 編輯模式 ③ 底行模式(擴充套件命令列模式) 使用vim開啟一個文字時,預設處於一般模式。該模式不能對文字直接進行文字編輯,但是可以使用一些快捷鍵,對檔案進行快捷操作。 如果需

Spring Boot 學習之快取 NoSQL

該系列並非完全原創,官方文件、作者一、前言當系統的訪問量增大時,相應的資料庫的效能就逐漸下降。但是,大多數請求都是在重複的獲取相同的資料,如果使用快取,將結果資料放入其中可以很大程度上減輕資料庫的負擔,提升系統的響應速度。本篇將介紹 Spring Boot 中快取和 NoSQ

Linux 筆記 - 第十三章 Linux 系統日常管理之Linux 數據備份工具 rsync 網絡配置

方法 target speed cnblogs rsync -av html links 布爾值 單個 博客地址:http://www.moonxy.com 一、前言 sync 命令是一個遠程數據同步工具,可通過 LAN/WAN 快速同步多臺主機間的文件,可以理解為 rem

linux基礎:基於Redhat7系統的sshd服務

SSHD 服務簡介 ssh 協議:安全外殼協議。為 Secureshell 的縮寫。SSH 為建立在應用層和傳輸層基礎上的安全協議。 sshd 服務使用 SSH 協議可以用來進行遠端控制, 或在計算機之間傳送檔案。而實現此功能的傳統方式,如 telnet(終端模擬協議)都是極為不安全的,

鳥哥的 Linux 私房菜Shell Scripts

12.4 條件判斷式 只要講到『程式』的話,那麼條件判斷式,亦即是『 if then 』這種判別式肯定一定要學習的!因為很多時候,我們都必須要依據某些資料來判斷程式該如何進行。舉例來說,我們在上頭的ans_yn.sh 討論輸入迴應的範例中不是有練習當使用者輸入Y/N時,必須要執行不同的訊息輸出嗎?

【計算機基礎】Java學習 認識類與物件打包器、陣列字串

介紹完基本型別,下面介紹類型別。 瞭解物件與參考的關係,認識打包器,以及陣列物件、字串物件。 一、類與物件       1.建立類          編寫程式需要使用物件(Object),產生物件必須先定義類(Class),類就像是設計圖,而物件是類

Linux 網路程式設計 全解--------多程序併發伺服器多執行緒併發伺服器

寫在前面:這個系列也是停滯了20多天了,從今天開始再次步入正軌,以後每個週末都會陸陸續續的更新,這個系列預計完結的時間還會在大約一個月左右,今天靜下心來多整理幾篇。QQ:993650814 正文: 一、多程序併發伺服器     設計思路:當有新的客戶端連線到

基於 abp vNext .NET Core 開發部落格專案 - 部落格介面實戰

## 系列文章 1. **[基於 abp vNext 和 .NET Core 開發部落格專案 - 使用 abp cli 搭建專案](https://www.cnblogs.com/meowv/p/12896177.html)** 2. **[基於 abp vNext 和 .NET Core 開發部落格專案

linux操作系統基礎

linux操作系統 linux服務 images without 重新 修改 文件內容 請求 用戶訪問 linux服務篇 1.samba服務的搭建 samba的功能: samba是一個網絡服務器,用於Linux和Windows之間共享文件。2. samba服務的啟動、停止、

linux操作系統基礎

多個 success centos mountd rpcbind ces 說明 目錄 發送 NFS服務(基於CentOS 7.0) NFS(Network File System),網絡文件系統,是linux與linux之間進行文件共享的服務,在NFS應用,本地NFS的客戶

linux下oracle11G DG搭建:興許驗證操作

歸檔 驗證 補充 over nts content -s 環境 fontsize linux下oracle11G DG搭建(四):興許驗證操作 環境 名稱 主庫 備庫 主機名 bjsrv shsrv 軟件版本號 RedH

Unreal Engine 4虛幻UE4GameplayAbilities 插件入門教程技能屏蔽簡單的Buff等

網絡 important any time sim sed exe triggers 進入 本節內容繼續上一節教程的內容(如果沒有看過前面的教程,請前往學習),不會講太難的新東西,而是繼續探究技能標簽(Abiilty Tags)的內容。先來一道開胃菜。 第1.1步: 將

HttpClient-- 使用代理IP 超時設置

超時設置 cti proto eat 超時時間 user 判斷 wow wow64 1.代理IP的用處:   在爬取網頁的時候,有的目標站點有反爬蟲機制,對於頻繁訪問站點以及規則性訪問站點的行為,會采集屏蔽IP措施。這時候,就可以使用代理IP,屏蔽一個就換一個IP。 2

UI自動化測試AutoIT工具使用robot對象模擬鍵盤按鍵操作

rop 並保存 cto 右鍵 自動化測試 nqa files 安裝 存在 AutoIT簡介 AutoIt 目前最新是v3版本,這是一個使用類似BASIC腳本語言的免費軟件,它設計用於Windows GUI(圖形用戶界面)中進行自動化操作。它利用模擬鍵盤按鍵,鼠標移動和窗口/