OpenSSL创建私有CA

最新推荐文章于 2023-06-28 10:38:43 发布
最新推荐文章于 2023-06-28 10:38:43 发布
阅读量2.3k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: 私有CA openssl ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012468841/article/details/61427604
版权

PKI

公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。

密码学上,公开密钥基础建设借着数字证书认证机构(CA)将用户的个人身份跟公开密钥链接在一起。对每个证书中心用户的身份必须是唯一的。链接关系通过注册和发布过程创建,取决于担保级别,链接关系可能由CA的各种软件或在人为监督下完成。PKI的确定链接关系的这一角色称为注册管理中心(Registration Authority,RA)。RA确保公开密钥和个人身份链接,可以防抵赖。

PKI的组成

  • CA:数字证书认证机构。
  • RA:注册管理中心
  • CRL:证书吊销列表
  • CRT:证书
  • 证书存储库

CA证书申请大致流程

CA证书申请及签署步骤

  1. 客户端生成申请请求;
  2. 服务端RA核验;
  3. 服务端CA签署;
  4. 客户端获取证书;

创建私有CA

配置 OpenSSL

OpenSSL的配置文件位置:/etc/pki/tls/openssl.cnf
以下是跟CA的相关部分,因此知道文件将创建在哪里。

[ CA_default ]

dir     = /etc/pki/CA       # 保存所有信息的目录
certs       = $dir/certs        # 保存证书的目录
crl_dir     = $dir/crl      # 保存证书吊销列表的目录
database    = $dir/index.txt    # 数据库索引文件

确保目录和文件已经创建

[root@localhost CA]# cd /etc/pki/CA
[root@localhost CA]# ls
certs  crl  newcerts  private
[root@localhost CA]# 
[root@localhost CA]# touch index.txt
[root@localhost CA]# echo 01 > serial
[root@localhost CA]# ls
certs  crl  index.txt  newcerts  private  serial

CA自签证书

如果您只是想做一张内网用的电子证书或不想花钱去找个 CA 签署,您可以造一张自签 (Self-signed)的电子证书。当然这类电子证书没有任何保证,浏览器遇到这证书会发出警告,甚至不接收这类证书。使用自签名(self-signed)的证书,它的主要目的不是防伪,而是使用户和系统之间能够进行SSL通信,保证密码等个人信息传输时的安全。

服务端生成CA私钥文件

[root@localhost CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

用生成的CA私钥文件生成CA自签证书

[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem

# 各参数的含义
# -new:生成新证书签署请求
# -x509:专用于CA生成自签证书,即自己充当CA认证自己
# -key:生成请求时用到的私钥文件路径
# -days n:证书的有效期限(天)
# -out /PATH/TO/SOMECERTFILE:证书的保存路径
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:w3iCA Ltd      
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:www.w3ica.com
Email Address []:admin@w3ica.com

客户端生成证书请求

客户端生成私钥文件

[root@localhost httpd]# mkdir -p /etc/httpd/ssl
[root@localhost httpd]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

客户端用私钥加密生成证书请求

[root@localhost httpd]# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

CSR(Certificate Signing Request)包含了公钥和名字信息。通常以.csr为后缀,是网站向CA发起认证请求的文件,是中间文件。

在这一命令执行的过程中,系统会要求填写如下信息:

要求添写的内容
Country Name (2 letter code)使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN
State or Province Name (full name)省份,比如填写BeiJing
Locality Name (eg, city)城市,比如填写BeiJing
Organization Name (eg, company)组织单位,比如填写公司名称的拼音
Organizational Unit Name (eg, section)比如填写IT Dept
Common Name (eg, your websites domain name)城市,比如填写BeiJing
Email Address邮件地址,可以不填
A challenge password可以不填
An optional company name可以不填

注意

行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:www.abc.com。
一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
blog.abc.com 又是另外一个网站。

这里我的填写如下

-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:w3i Ltd
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:www.test.com
Email Address []:admin@test.com 

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

最后把生成的请求文件(/etc/httpd/ssl/httpd.csr)传输给CA
这里我使用scp命令,通过ssh协议,将该文件传输到CA下的/tmp/ssl目录

scp /etc/httpd/ssl/httpd.csr root@192.168.80.130:/tmp/ssl/

CA签署证书

查看申请信息

# openssl req -noout -text -in /tmp/ssl/httpd.csr

在服务端CA上签署证书

[root@localhost CA]# openssl ca -in /tmp/ssl/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

证书通常以.crt为后缀,表示证书文件

可能遇到的问题

The organizationName field needed to be the same in the CA certificate and the request 因为默认使用/etc/pki/tls/openssl.cnf,里面要求其一致,修改organizationName=supplied

修改 /etc/pki/tls/openssl.cnf

# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = supplied
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

查看生成的证书的信息的命令

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial
[root@localhost CA]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -subject
subject= /C=CN/ST=BeiJing/O=w3i Ltd/OU=IT Dept/CN=www.test.com/emailAddress=admin@test.com

最后将生成的证书还给请求者客户端

[root@localhost CA]# scp /etc/pki/CA/certs/httpd.crt root@192.168.80.131:/tmp/

CA吊销证书

(1)知道客户端吊销的证书的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(2)先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;然后

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

(3)生成吊销证书的编号(第一次吊销一个证书时才需要执行)

# echo 01 > /etc/pki/CA/crlnumber

(4)更新证书吊销列表

# openssl ca -gencrl -out thisca.crl

查看证书吊销列表

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text
H&K Ein
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录一次CA服务器搭建
Sean_TS_Wang的博客
07-26 434
简介 今天接到一个需求,需要将http通信改成https通信,第一个反应就是,啥?这东西也归我们负责吗?这不是运维做的事情吗?经过一番激烈地讨论之后,这项任务就落到了我头上了(我是谁?我在哪?为什么我会在这?) 经过一番搜索,见证了搜索引擎的强大与弱小。但是最终算是解决了这个问题,在此,留下记录,供给后来人一个参考。 下面是我参考的一些博文: https://www.cnblogs.com/qiuhom-1874/p/12237944.html https://blog.csdn.net/we.
Nginx-小结
oschina_41926682的博客
06-18 247
概念:高性能的HTTP和反向代理web服务器,轻量,高并发 环境: centos7 关闭防火墙 nginx-1.18.0.tar.gz 安装包 源码安装 配置: #解压 #tar.gz 压缩包解压 [root@localhost ~]# tar -xvzf nginx-1.18.0.tar.gz #tar.bz2 压缩包解压 [root@localhost ~]# tar -xvjf nginx-1.18.0.tar.bz2 #配置 #yum 安装需要的依赖 [root@localho.
openssl 创建ca 签发证书
10-10
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
linux配置ftps服务
weixin_38367022的博客
06-28 438
vsftpd文件服务可以正常使用(配置教程参考。
我实践:自建CA及证书颁发(openssl)
超级无敌棒棒糖
09-30 446
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
生成自签ssl证书
kali_yao的博客
10-18 9383
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
mysql名称证书秘钥_mysql通过ssl的方式生成秘钥
weixin_36431157的博客
01-18 2911
-- mysql ssl 生成秘钥1 check ssl是否已经开启mysql> show variables like '%ssl%';+---------------+----------+| Variable_name | Value |+---------------+----------+| have_openssl | DISABLED || have_ssl ...
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2817
在MAC OS使用命令行OpenSSL生成SSL证书时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf
openssl签名时报:the stateOrProvinceName field needed to be the same
xiuxian1的专栏
07-23 1486
是因为在openssl.cfg中的policy_match里面的前三个都选了match,修改成 stateOrProvinceName = optional organizationName = optional 就可以了。
使用OpenSSL证书操作详解
huang714的专栏
10-15 1144
一、OpenSSL简介 OpenSSL支持多种秘钥算法,包括RSA、DSA、ECDSA,RSA使用比较普遍。官网地址:https://www.openssl.org/,一般CeontOS系统都装有OpenSSL,可使用命令openssl verson查看 openssl verson 二、秘钥操作 A)生成RSA私钥。-out private.key 输出秘钥文件为private.key;128 为秘钥大小,目前认为2048大小是比较安全的,本文测试使用128大小。 openssl..
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
openssl创建ca 公私密钥 证书
07-13
openssl创建ca 多级ca 生成公私密钥对 证书 加密解密 加签验签等命令,有具体例子。
使用OpenSSL创建测试CA证书的标准方法
10-01
使用OpenSSL创建测试CA证书的标准方法,OpenSSL,CA,Certificate
openssl简单创建CA以及证书
04-09
学习openssl基础必备,简单创建属于自己的CA
Linux系统入侵痕迹分析取证
留记
08-28 8371
获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
DNS正反向解析和主从同步配置
留记
01-14 5177
DNS服务器的类型 主DNS服务器 从DNS服务器 缓存DNS服务器 转发器 主从简介 主DNS服务器: 维护所负责解析的域内解析库的服务器;解析库由管理维护 从DNS服务器: 从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库 DNS安装配置在Linux系统上安装能提供DNS服务的程序包,其程序包名为 bind,程序名为 named安装如下程序包 bind 实现提供DN
CentOS7下的LAMP搭建
留记
03-07 2964
CentOS7下LAMP搭建 本文所使用的服务器搭建LAMP环境,其系统及软件源码包版本情况如下: CentOS7 httpd-2.4.29 apr-1.6.3 apr-util-1.6.1 mariadb-5.5.59 php-5.6.34 LAMP简介 LAMP是指一组通常一起使用来运行动态网站或者服务器的自由软件名称首字母缩写: Linux,操作系统...
Linux LVM(逻辑卷管理)
留记
01-25 1324
lvm基本应用 什么是lvm? LVM 的全名是 Logical Volume Manager,中文为逻辑卷管理,它是Linux对磁盘分区的一种管理机制,它在传统的硬盘(或硬盘分区)和文件系统之间建立一个逻辑层,将一个或多个底层块设备组织成为一个逻辑设备。LVM 的重点在于可以动态的调整磁盘分区的大小,而并不是数据的冗余性和完整性。 lvm的组成 PV:Physical V
openssl ca
最新发布
03-09
其中,openssl caOpenSSL工具包中的一个命令,用于创建和管理证书颁发机构(CA)。 使用openssl ca命令,可以执行以下操作: 1. 创建自签名的根证书:可以使用openssl req命令生成一个自签名的根证书,并将其作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值