centos 配置证书_如何在CentOS 8上设置和配置证书颁发机构(CA)

最新推荐文章于 2024-05-05 11:03:04 发布
最新推荐文章于 2024-05-05 11:03:04 发布
阅读量3.8k 收藏 4
点赞数
文章标签: linux java python 大数据 编程语言
原文链接:https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-a-certificate-authority-ca-on-centos-8
版权

centos 配置证书

介绍 (Introduction)

A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for verifying the identity of websites and other services that are provided to the general public, private CAs are typically used for closed groups and private services.

证书颁发机构 (CA)是负责颁发数字证书以在Internet上验证身份的实体。 尽管公共CA是验证提供给公众的网站和其他服务的身份的流行选择,但私有CA通常用于封闭组和私有服务。

Building a private Certificate Authority will enable you to configure, test, and run programs that require encrypted connections between a client and a server. With a private CA, you can issue certificates for users, servers, or individual programs and services within your infrastructure.

构建专用的证书颁发机构将使您能够配置,测试和运行需要客户端与服务器之间进行加密连接的程序。 使用专用CA,您可以为基础结构中的用户,服务器或单个程序和服务颁发证书。

Some examples of programs on Linux that use their own private CA are OpenVPN and Puppet . You can also configure your web server to use certificates issued by a private CA in order to make development and staging environments match production servers that use TLS to encrypt connections.

Linux上使用自己的专用CA的程序的一些示例是OpenVPNPuppet 。 您还可以将Web服务器配置为使用私有CA颁发的证书,以使开发和登台环境与使用TLS加密连接的生产服务器匹配。

In this guide, we’ll learn how to set up a private Certificate Authority on a CentOS 8 server, and how to generate and sign a testing certificate using your new CA. You will also learn how to import the CA server’s public certificate into your operating system’s certificate store so that you can verify the chain of trust between the CA and remote servers or users. Finally you will learn how to revoke certificates and distribute a Certificate Revocation List to make sure only authorized users and systems can use services that rely on your CA.

在本指南中,我们将学习如何在CentOS 8服务器上设置私有证书颁发机构,以及如何使用新的CA生成和签署测试证书。 您还将学习如何将CA服务器的公共证书导入到操作系统的证书存储中,以便可以验证CA与远程服务器或用户之间的信任链。 最后,您将学习如何吊销证书和分发证书吊销列表,以确保只有授权的用户和系统才能使用依赖您的CA的服务。

先决条件 (Prerequisites)

To follow this tutorial, you will need a CentOS 8 server with a sudo enabled, non-root user, and a firewall set up with firewalld. You can follow our Initial Server Setup with CentOS 8 guide to complete that set up.

要遵循本教程,您将需要一台具有启用了sudo的CentOS 8服务器,非root用户以及一个使用firewalld设置的firewalld 。 您可以按照CentOS 8进行“初始服务器设置”指南来完成该设置。

This server will be referred to as the CA Server in this tutorial.

在本教程中,此服务器将称为CA Server

Ensure that the CA Server is a standalone system. It will only be used to import, sign, and revoke certificate requests. It should not run any other services, and ideally it will be offline or completely shut down when you are not actively working with your CA.

确保CA Server是独立系统。 它仅用于导入,签名和吊销证书申请。 它不应运行任何其他服务,并且理想情况下,当您不积极使用CA时,它将脱机或完全关闭。

Note: The last section of this tutorial is optional if you would like to learn about signing and revoking certificates. If you choose to complete those practice steps, you will need a second CentOS 8 server or you can also use your own local Linux computer running CentOS 8, Fedora or a RedHat derivative.

注意:如果您想了解有关签名和吊销证书的信息,本教程的最后一部分是可选的。 如果您选择完成这些练习步骤,则需要第二台CentOS 8服务器,或者您也可以使用自己的本地Linux计算机来运行CentOS 8,Fedora或RedHat衍生产品。

第1步-安装Easy-RSA (Step 1 — Installing Easy-RSA)

The first task in this tutorial is to install the easy-rsa set of scripts on your CA Server. easy-rsa is a Certificate Authority management tool that you will use to generate a private key, and public root certificate, which you will then use to sign requests from clients and servers that will rely on your CA.

本教程的首要任务是在CA Server上安装easy-rsa脚本集。 easy-rsa是一个证书颁发机构管理工具,将用于生成私钥和公共根证书,然后将其用于对来自依赖于CA的客户端和服务器的请求进行签名。

The easy-rsa package is not available by default in CentOS 8, so you will need to enable the Extra Packages for Enterprise Linux (EPEL) repository. EPEL is managed by the Fedora Project and contains non-standard but popular packages for Fedora, CentOS, and other Linux distributions that use the RPM package format. Login to your CA Server as the non-root sudo user that you created during the initial setup steps and run the following:

easy-rsa软件包在CentOS 8中默认情况下不可用,因此您需要启用企业Linux额外软件包(EPEL)存储库。 EPEL由Fedora项目管理,包含用于Fedora,CentOS和其他使用RPM软件包格式的Linux发行版的非标准但流行的软件包。 以您在初始设置步骤中创建的非根sudo用户身份登录到CA Server,然后运行以下命令:

  • sudo dnf install epel-release

    sudo dnf安装epel-release

You will be prompted to download the package and install it. Press y to confirm you want to install the package.

系统将提示您下载软件包并安装。 按y确认您要安装该软件包。

Now install the easy-rsa package, again entering y at the prompt:

现在安装easy-rsa软件包,在提示符下再次输入y

  • sudo dnf install easy-rsa

    须藤dnf安装easy-rsa

At this point you have everything you need set up and ready to use Easy-RSA. In the next step you will create a Public Key Infrastructure, and then start building your Certificate Authority.

至此,您已经准备就绪,可以使用Easy-RSA。 在下一步中,您将创建一个公共密钥基础结构,然后开始构建您的证书颁发机构。

步骤2 —准备公钥基础结构目录 (Step 2 — Preparing a Public Key Infrastructure Directory)

Now that you have installed easy-rsa, it is time to create a skeleton Public Key Infrastructure (PKI) on the CA Server. Ensure that you are still logged in as your non-root user and create an easy-rsa directory. Make sure that you do not use sudo to run any of the following commands, since your normal user should manage and interact with the CA without elevated privileges.

现在,您已经安装了easy-rsa ,是时候在CA Server上创建骨架公钥基础结构 (PKI)了。 确保您仍以非root用户身份登录并创建一个easy-rsa目录。 确保不要使用sudo运行以下任何命令,因为普通用户应在没有提升特权的情况下管理CA并与之交互。

  • mkdir ~/easy-rsa

    mkdir〜/ easy-rsa

This will create a new directory called easy-rsa in your home folder. We’ll use this directory to create symbolic links pointing to the easy-rsa package files that we’ve installed in the previous step. These files are located in the /usr/share/easy-rsa/3 folder on the CA Server.

这将在您的主文件夹中创建一个名为easy-rsa的新目录。 我们将使用此目录创建指向上一步中安装的easy-rsa软件包文件的符号链接。 这些文件位于CA Server上的/usr/share/easy-rsa/3文件夹中。

Create the symlinks with the ln command:

使用ln命令创建符号链接:

  • ln -s /usr/share/easy-rsa/3/* ~/easy-rsa/

    ln -s / usr / share / easy-rsa / 3 / *〜/ easy-rsa /

Note: While other guides might instruct you to copy the easy-rsa package files into your PKI directory, this tutorial adopts a symlink approach. As a result, any updates to the easy-rsa package will be automatically reflected in your PKI’s scripts.

注意:虽然其他指南可能会指导您将easy-rsa软件包文件复制到PKI目录中,但本教程采用了符号链接方法。 因此,对easy-rsa软件包的任何更新将自动反映在您的PKI脚本中。

To restrict access to your new PKI directory, ensure that only the owner can access it using the chmod command:

要限制对新PKI目录的访问,请确保只有所有者可以使用chmod命令访问它:

  • chmod 700 /home/sammy/easy-rsa

    chmod 700 /家庭/ sammy / easy-rsa

Finally, initialize the PKI inside the easy-rsa directory:

最后,在easy-rsa目录中初始化PKI:

  • cd ~/easy-rsa

    光盘〜/ easy-rsa
  • ./easyrsa init-pki

    ./easyrsa init-pki 

   
   
   

    
    
    Output
   
   
   
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sammy/easy-rsa/pki

After completing this section you have a directory that contains all the files that are needed to create a Certificate Authority. In the next section you will create the private key and public certificate for your CA.

完成本节后,您将拥有一个目录,其中包含创建证书颁发机构所需的所有文件。 在下一部分中,您将为CA创建私钥和公共证书。

步骤3 —创建证书颁发机构

最低0.47元/天 解锁文章
cukw6666
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux TCP协议栈定时器走读
Al_xin的专栏
09-15 6118
导语:TCP协议栈是事件驱动的,如果说TCP的拥塞算法是tcp协议栈的心脏,那么tcp协议栈的定时器则是tcp协议栈的心跳。1. 数据结构TCP协议栈的定时器众多,也异常复杂,在这里主要简单走一遍tcp协议栈的定时器机制。N.Wirth曾说:程序=数据结构+算法。某大牛曾说:好的数据结构设计是程序成功的一半。首先来看一下定时器的数据结构:struct timer_list //include
执行yum install 的时候提示【没有可用的软件包】的解决方案
weixin_42210039的博客
12-29 2324
3.从可以正确执行yum install的虚拟机中,把CentOS-Base.repo和docker-ce.repo这两个文件推到执行yum install 失败的虚拟机中:例如执行scp 正确虚拟机中的文件路径/文件名 root@要推送到的虚拟机的IP:要推送到的路径。4.替换成功之后,重新执行yum install 命令,看到如下界面,表示yum install 命令执行成功。2.把这个目录下的CentOS-Base.repo和docker-ce.repo这两个文件替换掉。
easy-rsa使用
最新发布
qq_39879126的博客
05-05 1959
【代码】easy-rsa使用。
InstallShield 2008 Release Notes
热门推荐
波比的专栏
03-16 1万+
Q112996: INFO: InstallShield 2008 Release Notes http://knowledge.macrovision.com/selfservice/documentLink.do?popup=true&externalID=Q112996&lang
Ubuntu(linux)添加系统证书信任
thlzjfefe的博客
07-04 8438
关于浏览器使用https访问网站 大家有时候在使用https://访问网站时 经常遇到证书信任问题 经过网上查找资料找到了 使用linux系统 Ubuntu亲测可以使用 添加证书的方式 方式 如下 Ubuntu下添加系统根证书, 只要将证书(扩展名为crt)复制到**/usr/local/share/ca-certificates**文件夹然后运行update-ca-certificates即可。 添加证书: $sudo cp 证书路径.crt /usr/local/share/ca-ce...
Frontend Notes(2)
wangzihahaha的博客
03-19 2324
All stuff is from Stanford CS142 Webservers and Communication Browser<=>Webserver<=>Storage system WebServers Browsers: send HTTP request and get HTTP responses Web Server: get HTTP r...
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
11-29
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
CA证书颁发
03-27
3. 颁发数字证书CA机构颁发数字证书给网站服务器,网站服务器可以将数字证书安装在服务器上,以便客户机可以访问网站时验证网站的身份。 在实验中,我们模拟了CA证书颁发的整个过程。首先,我们搭建了网站服务器...
CentOS 6.7下nginx SSL证书部署的方法
09-30
它由权威的证书颁发机构CA)签发,包含公钥和私钥,其中公钥用于加密信息,私钥用于解密信息。当用户访问启用SSL的网站时,浏览器会与服务器进行“握手”过程,交换证书,并建立一个安全的加密连接。 在CentOS ...
Centos7.3 安装部署Nginx并配置https的方法步骤
09-29
这通常在购买域名时同时申请,由权威的证书颁发机构(CA)提供。证书会绑定到你的域名,并需要在Nginx配置文件中指定。证书文件通常包括私钥文件(例如:`server.key`)和证书文件(例如:`server.crt`)。在Nginx的...
K8S证书生成工具-cfssl-Centos离线安装包
10-28
你可以通过它来检查证书的详细属性,如有效期、颁发者、主体、公钥算法等,这对于理解和验证证书的正确性非常有帮助。 3. `cfssljson`: `cfssljson`将JSON格式的数据转换为`cfssl`可以理解的格式,或者将`cfssl`...
Ubuntu 离线安装ca-certificates
luotuo28的博客
09-22 1093
dpkg -i 对应的按照包deb文件。
ubuntu下自我签名数字证书
chen_jianjian的专栏
08-07 4465
引言 本博文使用的 CA CA即数字证书认证机构,英文全称为Certificate Authority,也称为电子商务认证中心、电子商务认证授权机构证书授权中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。  CSR CSR即证书请求文件,英文全称为Cerificate Signing Request,证书申请者在申
Debian配置CA证书颁发机构)-AppSrv
新时代先锋的博客
03-28 7797
3.数字证书颁发CA颁发数字证书,用于证明某个实体(如个人、组织或网站)的身份和信息。4.证书吊销:如果数字证书失效或不再需要使用,CA可以将其吊销,以保证数字证书的安全性。总的来说,CA的作用是确保数字证书的真实性、安全性和可信度,从而保护网络通信的安全。2.数字签名:CA用自己的私钥对数字证书进行签名,确保数字证书的有效性和完整性。1.身份验证:CA负责验证证书申请者的身份和信息,以确保证书的真实性和可信度。5.信任链维护:CA维护数字证书的信任链,确保数字证书的可信度和安全性。
Debian 10.x自签发CA证书与Apache建立HTTPS安全连接网站
小马学习笔记
02-16 5548
环境概述 Debian 10.x 安装apache服务 Client可供管理员使用,有三台服务器Rserver,Server01,Server04 Client:10.10.100.x(DHCP获取) Rserver: CA签发方 Server01:172.16.100.201 (CA使用方) Server04:192.168.10.4 (CA使用方) 需求概述  由Server01,04提供www.sdskills.com  skills公司的门户网站;  使用apache服务;  网页文件
系统添加根证书
u011238098的博客
01-26 844
How to add CA to system root Reference KERIO Overview If you want to send or receive messages signed by root authorities and these authorities are not installed on the server, you must add a trusted root certificate manually. Use the following steps to
Debian技能大赛笔记(七)CA证书创建配置
weixin_61591688的博客
03-30 1805
​ 1、 安装CA服务 apt install openssl 2、建立一个CA的根目录 这个根目录建了哪叫什么都无所谓,只不过这个路径是要记下的 我就直接建到root下了 mkdir ca 然后在ca文件夹里面再建几个文件夹 进入ca文件夹 cd ca #进入ca文件夹 创建文件夹 mkdir 1 #存放已颁布的证书 mkdir 2 #存放ca指令生成的证书 mkdir 3 #存放私钥 touch 4.txt #已签发证书的文本数据文件 vim 5
linux 配置ftp ssl,在Ubuntu 18.04上,如何使用SSL/TLS配置VSFTPD FTP
weixin_39992831的博客
05-10 445
FTP是文件传输协议的缩写,用于计算机网络中的计算机和服务器之间传输文件。本文提供了如何在Ubuntu 18.04上使用SSL/TLS配置安全vsftpd服务器,并且使用终端和GUI工具连接到服务器的详细步骤。安装VSFTPD服务器在Linux上有几个FTP服务器,我们要安装vsftp ,要在Ubuntu 18.04上执行这个操作,请在终端中键入以下命令:sudo apt install vsft...
centos7+ca证书颁发
10-20
CentOS 7 上颁发 CA 证书可以通过以下步骤实现: 1. 安装 OpenSSL 工具:在终端中输入以下命令安装 OpenSSL 工具: ``` sudo yum install openssl ``` 2. 创建 CA 私钥:在终端中输入以下命令创建 CA 私钥...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值