内部 CA 证书管理

最新推荐文章于 2022-06-18 20:56:03 发布
最新推荐文章于 2022-06-18 20:56:03 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 其他 文章标签: ssl CA证书
版权归博主所有,转载先联系博主,请带上本文链接!联系方式:[email protected]
本文链接:https://blog.csdn.net/isea533/article/details/106397248
版权

内部 CA 证书管理

生成 CA 证书

# 生成 KEY
openssl genrsa -out ca.key 4096
# 生成证书
openssl req -x509 -new -nodes -sha512 -days 3650 \
    -subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=常用名(或域名)" \
    -key ca.key \
    -out ca.crt

导入 CA 证书

内部人员需要把该 ca.crt 证书添加到受信任的根证书中,这样通过改 CA 证书生成的其他证书也会被信任。

Windows

Windows 运行输入 certmgr.msc 然后添加。操作如下图所示:
在这里插入图片描述

Linux 导入 CA 证书

# 如果没有 ca-certificates 就安装
yum install -y ca-certificates

# 把 ca.crt 证书放到下面目录
# /etc/pki/ca-trust/source/anchors

# 执行下面命令更新证书
update-ca-trust

# 如果根证书是以 *.pem 结尾,需要转换成crt,然后再执行上述步骤。命令如下:
openssl x509 -in ca.pem -inform PEM -out ca.crt

使用 CA 证书生成其他证书

例如生成泛域名证书:

# 生成 KEY
openssl genrsa -out *.erp.com.key 4096
# 生成证书请求
openssl req -sha512 -new \
  -subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=*.erp.com" \
  -key *.erp.com.key \
  -out *.erp.com.csr 
  
# 设置证书信息,主要是泛域名时,可以指定额外的 x.com
cat > erp.com.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names

[alt_names]
DNS.1=*.erp.com
DNS.2=erp.com
EOF

# 使用 CA 证书生成具体的证书
openssl x509 -req -sha512 -days 3650 \
    -extfile erp.com.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in *.erp.com.csr \
    -out *.erp.com.crt

操作过程中生成的下面两个关键的文件:

  • 私钥:*.erp.com.key
  • 公钥:*.erp.com.crt

网站配置使用上面两个文件即可。

参考链接

isea533
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
5G 频段内CA培训
PhoneK数码
11-28 921
1,特性版本演进 19B,FR1/FR2带内CA峰值吞吐率 FR1 带内上下行连续CA 2CC 200MHz FR2带内上下行连续CA 4CC 800M 20A,带内CA灵活部署 板间 CA 20B FR内带间CA FR内 Inter-Band 相同SCS的DL&UL 2CC CA (T+T) FR内 Inter-Band 不同SCS的DL 2CC CA(T+F) FR2 下行带内非连续CA(2段) FR2 带内连续的 DL
labca:供内部(实验室)使用的私有证书颁发机构,基于来自Let's Encrypt(tm)的开源ACME自动证书管理环境实现
05-07
内部(实验室)使用的私有证书颁发机构,基于来自Let's Encrypt(tm)的开源ACME自动证书管理环境实现。 目录 背景 越来越多的网站和应用程序通过HTTPS提供服务,其中浏览器和Web服务器之间的所有流量都经过加密...
checkpoint 防火墙系统报错1--the internal CA certificate failed(内部CA损坏)
weixin_33798152的博客
11-09 501
独立部署完checkpoint防火墙之后,在防火墙上启用MOB功能和monitoring功能,当勾选monitoring的“traffic connections”和“traffic throughput”选项后,出现这个报错:“The generation of the internal CA certificate failed. This node will not b...
自建CA内部网站颁发SSL证书
wendirong的博客
06-18 3081
Windows Server - 建设篇 第二章 自建CA内部网站颁发SSL证书
为公司内部搭建CA
weixin_33895016的博客
07-08 221
步骤一 首先我们要知道CA的配置文件 openssl的配置文件:/etc/pki/tls/openssl.cnf 我们打开这个配置文件 这文件中很多跟CA相关的信息如图 解释: 我们可以搭建好几个CA,那么谁是默认的?图中① “=”号后面的信息就是默认的CA 图中②是默认CA的信息 依次表示: dir行:存放CA所有信息的目录,比如编号,证书等等...
内部CA的搭建
weixin_34418883的博客
08-03 232
一、PKI机制简介PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;...
Win7管理受信任证书 - CA证书 - 系统根证书
Rudon滨海渔村的博客
12-23 6369
步骤 1.开始—>运行mmc 2.点击“文件—添加/删除管理单元” 3.选择“证书”,并点击“添加” 4.选择“我的用户帐户”后点击“完成” 5.点击“确定”。。。。
openssl CA服务器模拟指令CA详解
yexiangCSDN的专栏
02-01 882
1、CA概述 首先我们需要明确CACA服务器的区别,CA是指集技术和管理与一体的庞大机构,不仅要求技术能力,还需要相应的管理能力。CA服务器相对来说比较简单,完成指定功能的一个应用程序。具体功能包括接受申请证书的请求、审核证书请求、签发证书、发布证书、吊销证书、生成和发布证书吊销列表及证书库的管理。 openssl提供了ca指令来模拟ca服务器,完成上述功能。上述功能繁杂,本文则主要
数字证书原理[转载]
weixin_30343157的博客
09-26 3258
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 ...
CA系统白皮书-CA证书管理系统
12-08
CA系统白皮书。实现数字证书(即网络中的个人虚拟身份证)的发放和管理。本系统所发放的数字证书用于各种应用系统的身份认证、操作的电子签名、数据的加密。
Certificate Expiration Alerter:Windows 证书颁发机构 (CA) / 证书过期警报-开源
05-29
Certificate Expiration Alerter 可帮助 IT 部门监控从内部 Windows Server 证书颁发机构 (CA) 颁发的所有证书的过期状态。 当证书即将到期时,证书到期警报器会发送一封通知电子邮件,其中包含有关该证书的信息。 ...
say-my-name:本地内部网络的证书颁发机构(CA)和REST API可更新DNS
02-10
说我的名字本地/内部网络的证书颁发机构(CA)和DNS 本地域的本地名称解析(DNS)(“。local”,“。home”,“。corp”等) 用于SSL / TLS(https)证书创建和管理的本地根CA 通过REST API管理名称和证书状态前...
cert-manager:Kubernetes的自动TLS证书管理器-开源
04-25
开箱即用的证书管理器支持ACME(即,让我们加密),HashiCorp Vault,Venafi,自签名和内部CA颁发者类型。 cert-manager是Kubernetes原生的,因此,它原生地针对Kubernetes和OpenShift。 这意味着它可以与集群的...
证书::shield:专用证书颁发机构(X.509和SSH)和ACME服务器,用于安全的自动证书管理,因此您可以在SSH和SSO处使用TLS
02-04
step-ca是用于安全,自动证书管理的在线证书颁发机构。 它是的服务器副本。 您可以使用它来: 为您的内部基础结构颁发X.509证书: 可HTTPS证书(和 ) 用于VM,容器,API,移动客户端,数据库连接,打印机,wifi...
IDEA 初始配置教程
热门推荐
偶尔记一下 - mybatis.io
12-17 6万+
IDEA 初始配置教程如果你是第一次使用 IDEA,或者对 IDEA 常用配置仍然不熟悉,那么本文就特别适合你。本文只是根据我自己的使用经验来进行配置,不一定适合所有的情况,但是对你肯定会有帮助。IDEA 官方地址https://www.jetbrains.com/idea/官方提供免费的【社区版】,还有收费的【高级版】(可以免费试用 1 个月)。下面的设置针对【高级版】进行设置,【社区版】由于功能
CAUTION:Provisional headers are shown
偶尔记一下 - mybatis.io
01-17 6万+
今天打开别人分享的一个有道云笔记的时候网页一直显示载入中... 刷新多次都无效,然后F12打开开发者工具,发现有两个js请求失败,单独在链接中打开js很正常。 显示如下图: 在Request Header这里显示CAUTION Provisional headers are shown, 然后我看到adblock plus正好拦截了两
Kubernetes 最新版本安装过程和注意事项
偶尔记一下 - mybatis.io
02-06 3万+
本文写于 2019-02-06 已亥猪年 农历正月初二 当前最新版本为 v1.13.3 在 18 年 6 月份京东活动的时候,买了一本 Kubernetes 权威指南,一直没时间看,春节期间正好学学。由于书上使用的是 2017 年的 1.6.0 版本,我自己为了使用最新版本,特地做一个记录。 虽然买了本书,但是整个操作过程参考了很多资料,主要是 kubeadm 官方文档: https://k...
参与 Spring 4 中文文档翻译
偶尔记一下 - mybatis.io
01-03 3万+
参与 Spring 4 中文文档翻译我们从2014年12月开始翻译Spring 4的框架文档,虽然至今已有一年,但是进度很慢。其中一部分原因是因为Spring 文档有1000多页,而且翻译的时候根据章节分配,导致许多人一次要翻译2000~3000行的文档,致使效率过低。近日已经将文档按照一定的章节重新拆分,每一个需要翻译的文件在20行~200行之间,行数少的纯翻译内容较多,行数多的包含的代码(代码只
iis设置ca证书颁发的组织
最新发布
10-12
首先,要设置CA证书颁发的组织,你需要安装和配置一个CA证书颁发机构。在Windows操作系统中,可以使用Windows Server操作系统的角色和功能向导来完成这一过程。打开服务器管理器,选择角色和功能安装,并选择添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

isea533

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值