CA Server证书申请与颁发 & Apache2 HTTPS

最新推荐文章于 2023-07-23 17:16:23 发布
最新推荐文章于 2023-07-23 17:16:23 发布
阅读量1.4k 收藏 5
点赞数 7
分类专栏: web 文章标签: https 服务器 CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zheng__Huang/article/details/127242218
版权

  本文将介绍关于CA Server的相关内容。CA Server搭建与自签名证书创建,实体认证与证书颁发,服务器证书申请与导入。

  另外,证书申请后,想要进行应用,还需要配置服务器的HTTPS。

CA Server initialize

本文使用easy-rsa工具(GitHub repo)进行CA Server的配置与维护,easy-rsa 是基于shell的CA管理工具,可以方便进行CA的管理和基本操作。

  • 下载repo release后,将其移动到适合位置,这里选择/opt/easy-rsa。并选取合适目录权限

  • 进入目录,初始化pki

cd easy-rsa
./easyrsa init-pki

配置 vars

vars是基本CA服务器配置文件,新版配置文件被放入pki目录中,需要另行修改

set_var EASYRSA_REQ_COUNTRY		"CN"
set_var EASYRSA_REQ_PROVINCE	"Shang Hai"
set_var EASYRSA_REQ_CITY		"Shang Hai"
set_var EASYRSA_REQ_ORG			"Zheng's Studio"
set_var EASYRSA_REQ_EMAIL		"hz1624917200@outlook.com"
set_var EASYRSA_REQ_OU			"My Organizational Unit"

生成CA根证书

./easyrsa build-ca

build CA

生成CA根证书ca.crt此证书是CA的凭证,所有该CA签署的证书都需要该根证书证明

ca.crt取出,分发给服务器和客户端。服务器需要CA证书作为信任链,客户端需要信任CA根证书

Linux 安装证书

crt证书移动到/usr/local/share/ca-certificates下,更新证书

sudo update-ca-certificates

更新后的证书可以在/etc/ssl/certs中查到(仅软链接)

Windows 安装证书

双击证书,点击install,安装在Trusted Root Certification Authorities.这一步非常关键,Windows将给予该CA机构根信任,该机构签发的所有证书都将被系统信任

install

证书申请与颁发

服务器密钥对生成

在申请证书前,需要先生成证书的目标公钥,使用openssl工具生成密钥对。

openssl genrsa -out <key_name>.key

密钥请妥善保存,若遗失则证书将不再有保护作用,需要申请撤销
gen server CA

申请证书

Attention: 在申请证书前,需要添加DNS请求字段,否则将出现证书域名不匹配,会被浏览器拦截

我们将在下文中看到如果不添加字段的后果,如果想避免重新申请和颁发证书,请照做

openssl.conf文件中,(位置不完全相同,笔者的文件在/etc/ssl中),增加如下信息:

...
[ req ]
...
req_extentions		= v3_req

[ v3_req ]
...
subjectAltName = @alt_names

[ alt_names ]
DNS.1	= domain1
DNS.2	= domain2
  • DNS.x字段后添加认证的域名,可以添加多个

然后执行如下指令,创建申请

sudo openssl req -new -key <key_name>.key -out <request_name>.req
  • openssl会询问关于证书的详细信息,这些信息将被写入证书中

CA request

  • 生成完毕后,查看证书请求信息
    sudo openssl req -text -noout -in <req_name>.req

x509 extension

将请求文件传输给CA Server,准备颁发

证书签署

使用easy-rsa维护证书实体和申请等信息

./easyrsa import-req <req_name> <entity_name>
  • req_name: 请求文件名
  • entity_name: 将录入数据库的实体名称

req imported

使用sign-req命令签署证书

./easyrsa sign-req server <entity_name>

生成文件位于./pki/issued/<entity_name>.crt

在Windows上查看证书:

kali cert

  • 此证书不需要安装,因为已经安装有根证书,此证书已经被信任

在Linux上查看证书:

sudo openssl x509 -in <cert_name> -noout -text

signed crt

  • 可以在Linux上安装证书,以后Apache调用证书直接使用安装位置

Apache2 配置 HTTPS

启用 module

启用ssl module

sudo a2enmod ssl

查看模块信息

sudo a2query -m

配置站点

/etc/apache2/sites-available下,新建站点(也可以直接修改默认站点)

原先自带两个站点配置文件,000-default.conf, default-ssl.conf

将两个配置文件合并为新的配置文件,继续修改(需要同时配置80和443的端口,可以使用echo合并,自行操作)

<VirtualHost *:443>
	ServerAdmin ...
	ServerName ...
	DocumentRoot ...
	...
	SSLCertificateFile /path/to/server/certificate
	SSLCertificateKeyFile /path/to/server/certificate/key
	
	SSLCertificateChainFile /path/to/server/certificate/chain
	...
</VirtualHost>

配置HTTP协议的重定向,在Virtual Host 80中,添加重定向配置

Redirect permanent / https://<https_server_name>
  • SSLCertificateFile: 服务器证书文件目录
  • SSLCertificateKeyFile: 证书对应私钥
  • SSLCertificateChainFile证书链文件,包含从根证书(需要客户端信任)到服务器证书的证书链(本样例中只有单层,故使用CA证书路径,也可以配置在SSLCACertificateFile中)

启用站点

sudo a2dissite 000-default.conf
sudo a2ensite site_name.conf
sudo service apache2 restart

测试

成功完成HTTPS配置!

success

success

通过Burpsuite可以观察到正确的重定向操作

redirect

通过浏览器,可以看到证书的详情页面

cert1

cert CA

问题说明

unissued cert error

unissued cert

浏览器报错,Peer's Certificate issuer is not recognized,此类在Firefox上会出现

因为Firefox自行管理证书系统,需要将CA根证书导入Firefox中解决

bad cert domain

bad cert domain

为了增强证书安全性,RFC规定将证书的Alt Name作为DNS域, 只有证书与域名相匹配,才能认为证书合法。这也是申请证书中需要配置openssl.conf的原因。如果遇到这个问题,需要重新进行证书申请,并附带DAN信息。

Zheng__Huang
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建CA服务器
weixin_33895516的博客
06-03 715
搭建CA服务器CA服务器即我们平时所说的证书颁发机构,由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。CA证书颁发机构)主要负责证书颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书主要有三大功能:加密、签...
记一次CA证书申请、服务器上的部署过程
simpleGq的专栏
05-21 2350
1.简介 最近用docker在liberity服务器上部署了一个应用。由于安全方面的考虑,服务器管理员需要我们启用https连接。这就需要我们去给liberity配置ssl证书。 2.步骤 1.申请CA证书 申请CA证书需要证书请求文件,需要在Server端生成。可以在server端用openssl命令生成。 证书请求文件里面包含的是server的public key。下面的命令生成了一个glz7plpsc.pok.ibm.com.key,这个就是服务器的私钥。glz7plpsc.pok.ibm.com.
HTTPS CA证书与TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPSCA证书、TLS建立的过程,简单画了个图
Apache Httpd 2.2 配置CA证书,实现Https加密通讯
Eumenides_s的博客
09-29 1052
个人博客地址:http://www.pojun.tech/ 欢迎访问什么是CA证书    关于什么是CA证书,以及如何使用Open-SSL申请和搭建CA证书,我们在之前的文章中已经有过介绍,这里不再赘述。若有疑问,可参考之前的文章。 http://www.pojun.tech/blog/2017/09/11/linux-middle-command-1 http://xiaoshua
记一次 etcd 报错 error “remote error: tls: bad certificate“, ServerName ““)
最新发布
ming12353的博客
07-23 2912
解决:etcd证书请求文件中增加hosts参数将etcd节点加入后重新生成证书文件。
linux apache 2.2下载,Linux下的Apache 2.2.* SSL证书安装
weixin_31958413的博客
05-14 86
1. 获取中级CA证书为保障服务器证书在客户端的兼容性,需要安装两张中级CA证书(以证书签发为准)。在订单页面中下载CA证书,保存为CA.crt2. 获取服务器证书在订单页面下载服务器证书(以域名命名的文件),改名为server.crt文件。3.Apache 2.2.* 的配置打开apache安装目录下conf目录中的httpd.conf文件,找到#LoadModule ssl_module mo...
【openVPN】Centos7 部署openVPN多客户端 已连通
m0_49027804的博客
06-01 9416
openvpn 是一款安全的vpn服务,可以实现多人稳定的远程办公环境
时代亿信证书管理系统功能简介
ckkscw4840的博客
05-21 397
1.1 认证中心(CAServerCAServer是ETCA数字证书管理系统的核心,负责所有证书的签发、注销以及证书注销列表的签发等管理功能。 证书管理 在CAServer系统中,只有拥有证书管理角...
Linux下创建私有CA服务器
码农崛起
07-19 3596
什么是证书?   它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。   理论上,人人都可以找个证书工具,自己做一个证书。 什么是CA?   CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书?   CA证书,就是CA颁发证书。   前面说...
IPsec certificate身份验证-CA server颁发证书
人生如棋
05-24 8707
转载请注明出处:http://blog.csdn.net/zhangyang0402/archive/2010/05/24/5620314.aspx 测试环境: MachineWindows versionIPCA serverWindows server 2003172.16.113.176
caserver单点登录去https协议为http,重置jar 包
06-28
caserver客户端,单点登录用的是https协议,经过修改jar文件,变https协议为http,跳过认证库验证。 http://hi.baidu.com/%C3%E7%D0%A4/blog/category/caserver%B5%A5%B5%E3%CF%B5%C1%D0 有具体使用方法!
ca证书颁发
12-12
主要讲了ca证书的搭建颁发,,使网站可以变为https。。
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
Windows server 2008R2 CA证书服务器替换文件
04-16
2000和2003版本不需要替换,那为什么还要用2008?低版本都停止更新了相对来说不安全。2008替换此文件,就能出现通过使用智能卡证书注册站来为另一用户申请一个智能卡证书啦。
PKI/CA与数字证书技术大全
12-06
从网络上找到这PKI/CA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
制作SSL自签证书Apache配置
范一刀的博客
03-09 4264
一. 安装OpenSSL tar zxvf openssl-0.9.7g.tar.gz cd openssl-0.9.7g ./config make make install 二. 安装Apache tar zxvf httpd-2.2.8.tar.gz ./configure --prefix=/opt/apache2 --enable-ssl=static --with-s
Linux运维之加密/解密原理、自建CA及搭建基于httpsApache
weixin_34280237的博客
06-15 303
上几次博文我们具体讨论了Apache(httpd)的基础知识:HTTP协议基础(参见博文:http://sweetpotato.blog.51cto.com/533893/1656137)Apache2.2的基本配置(参见博文:http://sweetpotato.blog.51cto.com/533893/1657668)Apache2.2的虚拟主机(参见博文:http:/...
Fabric-CA Server服务端命令详解
水上铁的专栏
05-25 2092
Hyperledger Fabric 证书颁发服务端的命令使用说明 用法: fabric-ca-server [command] 可用命令: init 初始化fabric-ca服务 start 启动fabric-ca服务 version 显示Fabric CA Server的版本信息 标识参数: 基础配置 --address string fabric-ca-server
在windows 下创建SFTP服务器
热门推荐
zeswhd的博客
06-26 2万+
在windows下建立SFTP服务器1:在网上下一个freesshd(http://www.freesshd.com/?ctt=download,安装过程中会产生key选yes)2:安装好之后打开软件(以管理员身份打开),在ssh中地址可以选在本地地址,端口选在22端口,安装之后可以看到key是默认有的能打开就是建立成功,如果打不开这个sshserver应该是本机电脑已经占用改端口,需要在电脑里关...
centos7 配置Webserver  安装web服务相关软件包;  由Server01提供www.sdskills.net;  skills 公司的门户网站;  使用web服务;  网页文件放在/data/share/htdocs/skills;  服务以用户 webuser 运行;  首页内容为&ldquo;This is the front page of sdskills&#39;s website.&rdquo;;  /htdocs/skills/staff.html 内容为&ldquo;Staff Information&rdquo;;  该页面需要员工的账号认证才能访问;  员工账号存储在ldap中,账号为zsuser、lsus  网站使用 https 协议;  SSL 使用 RServer 颁发证书, 颁发给: C = net ST = China L = ShangDong O = skills OU = Operations Departments net = *.skills.net  Sever01 的 CA 证书路径:/CA/cacert.pem  签发数字证书颁发者: C = net; O = Inc 网络系统管理赛项-模块 C:Linux 部署 8 / 11 OU = www.skills.net net = skill Global Root CA  客户端访问 https 时应无浏览器(含终端)安全警告信息;  当用户使用 http 访问时自动跳转到 https 安全连接;  当用户使用 sdskills.net 或 any.sdskills.net(any 代表任意网址前缀) 访问时,自动跳转到 www.sdskills.net。
07-08
- 将RServer颁发证书复制到`/etc/pki/tls/certs/`目录下,并重命名为`server.crt`。 - 将私钥复制到`/etc/pki/tls/private/`目录下,并重命名为`server.key`。 5. 配置HTTPS协议和自动跳转: - 编辑`/etc/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值