2. 程式人生 > >Linux建立私有CA和頒發證書及管理

Linux建立私有CA和頒發證書及管理

阿新 發佈:2019-04-21
name 工具 index country 證書管理 text tex 簽名證書 簽名

建立私有CA和頒發證書及管理

1. 建立私有CA

  1. 使用openssl工具實現搭建一個私有CA,打開文件/etc/pki/tls/openssl.cnf ,文件裏的內容是openssl 的配置文件。

    • 三種策略:match匹配、optional可選、supplied提供
    • match:要求申請填寫的信息跟CA設置信息必須一致
    • optional:可有可無,跟CA設置信息可不一致 aphs
    • supplied:必須填寫這項申請信息

  2. 執行以下命令創建私鑰

    (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

  3. 執行以下命令,生成CA自簽名證書

    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
    • -new:生成新證書簽署請求
    • -x509:專用於CA生成自簽證書
    • -key:生成請求時用到的私鑰文件
    • -days n:證書的有效期限
    • -out /PATH/TO/SOMECERTFILE: 證書的保存路徑
    • windows中需加上cer或者crt後綴才能識別證書

  4. 按照提示填寫證書信息,完成自簽名證書,私有CA搭建完成

    Country Name (2 letter code) [XX]:                        # 填寫國家,2個字符
State or Province Name (full name) [ ]:                 # 省份
Locality Name (eg, city) [Default City]:                  # 城市
Organization Name (eg, company) [Default Company Ltd]:        # 公司名
Organizational Unit Name (eg, section) [ ]:           # 部門
Common Name (eg, your name or your server‘s hostname) [ ]:  # 網站
Email Address [ ]:                                                   # 郵箱

2. 證書頒發

  1. 在需要使用證書的主機生成證書請求

    • 給服務器生成私鑰 

      (umask 066; openssl genrsa -out /data/test.key 2048)

    • 生成證書申請文件 

      openssl req -new -key /data/test.key -out /data/test.csr  #因是私有CA所以國家、省份、公司名稱需和CA一致,如想不一致需進CA服務器/etc/pki/tls/openssl.cnf配置文件進行更改

  2. 將證書請求文件傳輸給CA ,並檢查CA是否缺失以下頒發證書文件,缺失需創建,否則會出現錯誤

    • 證書數據庫文件index.txt

      touch /etc/pki/CA/index.txt

    • 證書序號文件serial

      echo 0f > /etc/pki/CA/serial

  3. CA簽署證書,並將證書頒發給請求者 

    openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 100

  4. 同一證書申請文件CA一般不能再次重復簽署頒發,如需再次重復頒發需修改以下文件

    • /etc/pki/CA/index.txt.attr 中的unique_subject = yes 改成unique_subject =no

3. 證書管理

  1. 使用以下命令可以查看證書內容

    openssl x509 -in /PATH/FROM/CERT_FILE -noout -text(證書內容)|issuer(證書頒發者信息)|subject(證書擁有者)|serial(證書系列號)|dates(過期時間)
openssl ca -status SERIAL(證書名)                  # 查看指定編號的證書狀態

  1. 吊銷證書

    • 在客戶端獲取要吊銷的證書的serial標號

      openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

    • 在CA上,根據客戶提交的serial與subject信息,對比檢驗是否與index.txt文件中的信息一致,然後吊銷證書

      openssl ca -revoke /etc/pki/CA/newcerts/SERIAL(證書編號).pem

    • 指定第一個吊銷證書的編號,註意:第一次更新證書吊銷列表前,才需要執行 

      echo 01 > /etc/pki/CA/crlnumber          # 缺失吊銷列表才執行此命令

    • 更新證書吊銷列表 

      openssl ca -gencrl -out /etc/pki/CA/crl.pem

    • 查看證書吊銷列表

      openssl crl -in /etc/pki/CA/crl.pem -noout -text     # windows中查看需添加crl後綴

    本次的個人筆記到此結束

Linux建立私有CA和頒發證書及管理

相關推薦

Linux建立私有CA頒發證書管理

name 工具 index country 證書管理 text tex 簽名證書 簽名 建立私有CA和頒發證書及管理 1. 建立私有CA 使用openssl工具實現搭建一個私有CA,打開文件/etc/pki/tls/openssl.cnf ,文件裏的內容是openssl

實驗:建立私有CA,並實現頒發證書(20190123 下午第一節)

ops 先生 local 吊銷 bak ssl The 一個數 兩個 證書的申請過程:centos6是需要證書服務的主機 centos7為服務器1、建立CA1、[root@centos7 ~]# tree /etc/pki/CA/etc/pki/CA├── certs├─

自簽名證書私有CA簽名的證書的區別 建立自簽名證書 建立私有CA 證書型別 證書副檔名

自簽名的證書無法被吊銷,CA簽名的證書可以被吊銷 能不能吊銷證書的區別在於,如果你的私鑰被黑客獲取,如果證書不能被吊銷,則黑客可以偽裝成你與使用者進行通訊 如果你的規劃需要建立多個證書,那麼使用私有CA的方法比較合適,因為只要給所有的客戶端都安裝了CA的證書,那麼以該

私有CA證書

傳輸 same ica ca簽署 .cn 數字證書 struct stat 派出所 證書類型 證書授權機構的證書 服務器 用戶證書 獲取證書兩種方法 使用證書授權機構: 生成簽名請求(csr ) 將csr發送給

建立私有CANginx綁定SSL加密

Nginx生成CA私鑰 [root@client03 ~]#cd /etc/pki/CA/ ---------------進入CA目錄[root@client03 CA]#(umask 077; openssl genrsa -out private/ca.key 2048)----------生成私鑰,可

Centos7建立CA申請證書 轉自https://www.cnblogs.com/mingzhang/p/8949541.html

Centos7.3建立CA和申請證書 openssl 的配置檔案:/etc/pki/tls/openssl.cnf 重要引數配置路徑 dir   = /etc/pki/CA          &

加密解密技術基礎用OpenSSL建立私有CA

1、加密解密技術基礎 (1)程序通訊 傳輸層協議有TCP,UDP,SCTP等,埠號port表示程序地址,程序向核心註冊獨佔使用某埠。 同一主機上的程序間通訊方式:程序間通訊(IPC), 訊息佇列(message queue),共享記憶體(shm), 旗語(semerphor)。 不同

基於 OpenSSL 自建 CA 頒發 SSL 證書

原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 頒發證書不僅可以用來鑑權,而且使你的通訊更加的安全(請保護好你的證書)。在實際的軟體開發中,越來越多的服務用到 HTTPS,證書的需求隨之增加

基於OpenSSL自建CA頒發SSL證書

openssl是一個開源程式的套件、這個套件有三個部分組成:一是libcryto,這是一個具有通用功能的加密庫,裡面實現了眾多的加密庫;二是libssl,這個是實現ssl機制的,它是用於實現TLS/SSL的功能;三是openssl,是個多功能命令列工具,它可以實現加密解密,甚至還可以當CA來用,可以讓你建立證

用OpenSSL建立CA簽發證書,轉換成java可以載入的jks

java的keytool工具本來就可以生成互動式認證的證書, 不過其他語言處理互動式認證的流程貌似和java的keytool的認證流程有些差別,  而openssl是比較通用的工具。大部分語言都會支援openssl生成的證書檔案。用openssl簽發的證書如何才能轉化為key

Linux私有CA搭建

openssl 內網搭建 數字證書為實現雙方安全通信提供了電子認證。在因特網、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。 證書申請及簽署步驟; 1、生成申請請求

Openssl應用實例:創建私有CA並申請證書

linux運維一:實驗環境CA:centos6 172.17.252.226客戶端:centos7 172.17.252.188二:閱讀CA相關配置文件CA配置文件路徑:/etc/pki/tls/openssl.cnf圖一圖二圖三三:證書申請及簽署步驟1、生成申請請求2、RA核驗3、CA簽署4、獲取證書具

創建CA 申請證書

cacentos6中一. 創建私有CA 1 、創建所需要的文件touch /etc/pki/CA/index.txt 生成證書索引數據庫文件echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號2、 CA 自簽證書生成私鑰cd /etc/pki/CA/ (umask 06

基於httpd建立私有CA實現https加密連接

ca https openssl 有關於https是什麽,點擊連接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin 一、準備工作 在開始實驗之前,我們要準備至少兩臺主機還有自身的計算機,一臺作為服務器,另外一臺作為

建立私有CA

建立私有CA使用openssl建立私有CA 第一步,生成私鑰 命令:(umask 077; openssl genrsa –out /etc/pki/CA/private/cakey.pem 4096) 命令註釋:加括號,是為了啟動子進程,更改umask,不影響原進程的umask。Cakey.pem是生成的私

04 Linux根檔案系統目錄結構bash特性

Linux檔案系統:   Linux:glibc   程式編譯方式:     動態連結式編譯     靜態連結式編譯   程序的型別:     終端:硬體裝置,在硬體裝置上可以關聯一個使用者介面,從而讓使用者用此介面與作業系統打交道     與終端相關:通過終端啟動     與終端無關:操作引

phpMyAdmin 安裝,建立、修改刪除資料庫插入、瀏覽、搜尋資料表中的資料

phpMyAdmin是眾多MySQL圖形化管理工具中使用最廣泛的一種,不管是Windows還是Linux,都可以通過該管理工具可以對MySQL進行各種操作。 一、下載及安裝 使用者可以在官方網站上免費下載最新版本,免費下載 下載好後,把壓縮包解壓到apache的專案目錄中,開啟config

Centos7創建CA申請證書 轉自https://www.cnblogs.com/mingzhang/p/8949541.html

tro 簽名證書 文件名 相同 執行 檢驗 vat http The Centos7.3創建CA和申請證書 openssl 的配置文件:/etc/pki/tls/openssl.cnf 重要參數配置路徑 dir = /etc/pki/CA

Linux下使用diffpatch製作打補丁(已經實踐可行!)

簡單的說,diff的功能就是用來比較兩個檔案的不同,然後記錄下來,也就是所謂的diff補丁。語法格式:diff 【選項】 原始檔(夾)目的檔案(夾),就是要給原始檔(夾)打個補丁,使之變成目的檔案(夾),術語也就是“升級”。下面介紹三個最為常用選項: (adsbygoogle =

ssl協議、openssl以及建立私有CA

實驗環境:RHEL5.8 32Bit SSL協議、OpenSSL以及建立私有CA詳解 ·如果通訊雙方其中某一方的私鑰丟失了該怎麼辦?     在通訊的過程中,收發雙反任何一方的私鑰丟失,都會導致它們的數字證書失效,所以任何基於此證書建立的通訊都應該宣佈失效,那麼