Rsa 3 证书吊销

于 2024-05-11 11:38:59 发布
阅读量670 收藏 12
点赞数 10
文章标签: stm32 嵌入式硬件 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyndingyannan/article/details/138708231
版权


在这篇博客文章中,我们将讨论如何吊销openvpn颁发的证书。我们正在Windows机器上测试这个选项,但我们也可以在Linux机器上使用相同的过程。在我们的案例中,我们使用简单的rsa 3脚本来吊销OpenVPN服务的SSL/TLS证书。
首先,吊销证书意味着使之前签署的证书无效,使其不能再用于openvpn客户端身份验证。
想要吊销证书的典型原因包括
•与证书相关的私钥被泄露或被盗。
•加密私钥的用户忘记了密钥上的密码。
•您想终止VPN用户的访问。
第一件事是登录到OpenVPN服务器,通常在那里生成OpenVPN客户端证书并使用CA证书进行签名。
现在打开windows命令提示符,进入目录“C:\Program Files\OpenVPN\aeasy-rsa”。之后推出EasyRSA外壳。对于该问题,请执行以下命令。

现在,为了显示我们当前使用的客户端证书的详细信息,可以通过发出以下命令来获取。
在此命令中,将客户端字段替换为您自己的客户端证书名称。

从屏幕上我们可以看到我们颁发的客户端证书的详细信息。

现在尝试使用此客户端证书连接到您自己的OpenVPN服务器,并确保连接成功。因此,这意味着现在我们的openVPN客户端证书是有效的,可以从客户端使用此证书进行openVPN身份验证。
现在让我们看看如何吊销已经在使用OpenVPN客户端证书。
从简单的rsa外壳本身。发出以下命令。在这里,将客户端名称替换为您自己的客户端证书名称。

键入“yes”并点击回车键以确认撤销。等待命令执行完成。一旦完成,我们将看到消息,因为撤销是成功的。revoke命令脚本将在目录C:\Program Files/OpenVPN/easy rsa/pki/下生成一个名为CRL.pem的CRL(证书吊销列表)文件。


附上一张截图供参考。

现在要创建一个更新的CRL,其中包含到目前为止所有吊销的证书,请发出以下命令。

您将看到一条消息,即已创建更新的CRL,CRL文件位置为C:\Program Files/OpenVPN/easy-rsa/pki/CRL.pem

并附上屏幕截图供参考。

在生成更新的“crl.pem”文件后,下一步是我们需要在openVPN服务器配置文件中启用crl验证。然后,只有所有连接的客户端都将根据CRL验证其客户端证书,任何正匹配都将导致连接从OpenVPN服务器端断开。
因此,使用任何文本编辑器打开目录“C:\Program Files\OpenVPN\config”下名为“server.ovpn”的文件。在这里我用了记事本,从屏幕上你可以看到我已经打开了文件。
在这一行中,我在tls auth行之后添加了crl-verify“C:\\Program Files\OpenVPN\\easy rsa\\\pki\\crl.pem”一行。保存内容并退出文本编辑器。


附上一张截图供参考。

dyndingyannan
关注
java 读取jks证书信息_java中RSA数字证书生成,jks文件生成以及读取。
weixin_29214691的博客
02-27 1440
一、Java代码生成cer证书文件:public class GetCertFile { //证书颁发者 static String CertificateIssuer = "C=中国,ST=广东,L=广州,O=人民组织,OU=人民单位,CN=人民颁发"; //证书使用者 static String CertificateUser = "C=中国,ST=广东,L=广州,O=...
私钥创建,申请证书,吊销证书,创建自签名证书
weixin_43570448的博客
09-07 714
CentOS7 中使用 gpg 创建 RSA 非对称密钥对 gpg --gen-key #在最后需要对设备进行操作的时候,可以在打开一个终端,然后 dd if=/dev/sda of=/dev/null #生成的文件存在 ~/..gnupg 目录中 gpg --list-keys #用来查看生成的密钥列表 base64 pubring.gpg #查看私钥 #由于密钥中含有不可见字符,如果直接cat查看会有许多乱码,因此用base64编码后显示 gpg -a --export -o test
使用EasyRsa3为OpenV pn生成和吊销证书
qianghong000的博客
10-31 2124
一、生成证书1. 下载Easy RSA3下载完并解压后,拷贝一份到/etc/open***和/home/client下#2.3版本需要独立下载个easy-rsa,该包用来制作ca证书,服务端证书客户端证书 wget-chttps://github.com/Open×××/easy-rsa/archive/master.zip...
OpenVPN 高级管理
Toasten
02-19 1763
假如公司已有员工叫 magedu 已经离职,且证书已被吊销,现在又新来一个员工仍叫 magedu,那么一般的区分办法是在用户名后面加数字,如:magedu1、magedu2 等,假如还想使用 magedu 这个账户名签发证书的话,那么需要删除服务器之前 magedu 的账户,并删除签发记录和证书,否则新用户的证书无法导入,并重新颁发证书。-rw------- 1 root root 636 Aug 4 15:53 ta.key # 生成该文件。
如何利用 Easy-RSA 软件在 Anolis OS8.8 操作系统上设置和配置证书颁发机构 (CA)
ftzyj的博客
12-18 1312
证书颁发机构 (CA) 是负责颁发数字证书以验证 Internet 上的身份的实体。尽管公共 CA 是验证向公众提供的网站和其他服务身份的热门选择,但私有 CA 通常用于封闭组和专用服务。建立专用证书颁发机构将使您能够配置、测试和运行需要客户端和服务器之间加密连接的程序。使用私有 CA,您可以为基础结构中的用户、服务器或单个程序和服务颁发证书。Linux上使用自己的私有CA的程序的一些示例是 OpenVPN和 Puppet。
菜鸟玩云计算之七:Ubuntu 之 ssh 无密码登录
云计算?
10-31 117
菜鸟玩云计算之七:Ubuntu 之 ssh 无密码登录 2012-10-30 created 2012-11-1 last updated 当超过3台机器搞到一起, 管理起来就会陷入混乱不堪. 因此需要证书登录的方式来管理服务器集群. master节点可以直接ssh登录到数据节点. 控制节点可以直接登录到被控制的节点.借用C/S的概念, 客户机需要安装openssh-client, 服务器需要安装...
easy-rsa 证书详解
YFHCSDN的博客
10-08 2254
rsa证书 个人总结
国密数字证书验证-SM2、SM3、SM4
11-22
4. 验证证书吊销状态:查询证书撤销列表(CRL)或使用在线证书状态协议(OCSP)检查证书是否已被撤销。 在实际应用中,使用国密算法的数字证书不仅适用于互联网通信,还广泛应用于政府、金融、电信等行业,满足国内...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1498
CA证书 CA是证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
HTTPS学习笔记:(3)一文彻底了解PKI与证书
不积跬步,无以至千里;不积小流,无以成江海!
12-13 3983
1. PKI PKI(public key infrastructure)的目标是实现不同成员在不见面的情况下进行安全通信,采用的模型是基于证书颁发机构( certification authority或certificate authority, CA)签发 的证书。PKI体系结构如下图所示: 订阅人:指那些需要证书来提供安全服务的团体。 登记机构:主要是完成一些证书签发的相关管理工作。可以...
使用easyrsa来制作证书
weixin_34405354的博客
05-23 2764
一、基于easy_rsa 2.x制作证书:链接:https://blog.51cto.com/wzlinux/1736459 最后附录部分。下载密钥制作工具easy_rsa 2:wget https://github.com/Open×××/easy-rsa/archive/release/2.x.zip解压easy_rsa并拷贝到/etc/ope...
OpenVPN服务器,2024年最新2024网易网络安全高级面试题及答案
最新发布
2301_82242296的博客
04-13 969
外链图片转存中…(img-6UP5Cqqt-1712974423114)][外链图片转存中…(img-nrWk0Lhu-1712974423114)]
openvpn crl.pem证书过期问题
xpt211314的博客
09-22 2451
部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;
Easy-RSA 3快速入门自述文件
a226433955的博客
10-16 1083
Easy-RSA 3快速入门自述文件 这是使用Easy-RSA版本3的快速入门指南。运行./easyrsa -h可以找到有关使用和特定命令的详细帮助。可以在doc /目录中找到其他文档。 如果您从Easy-RSA 2.x系列升级,则可以使用doc-path下的Upgrade-Notes。 设置并签署第一个请求 以下是启动新PKI并签署您的第一个实体证书需要进行的快速运行: ...
openssl生成证书吊销列表
weixin_33850015的博客
10-18 1189
一,先来讲讲基本概念。证书分类:按类型可以分为CA证书和用户用户证书,我们我说的root也是特殊的CA证书。用户证书又可以根据用途分类,放在服务器端的称为服务器证书,放在客户端一般称为客户端证书(这种说法不是很准确,只是一种理解。实际应该是在对客户端认证时才会用到客户端证书且root、ca证书都可以放在客户端),记住,这两种证书都应为用户证书。一般可以理解为证书由key和证书...
Debian 10上设置和配置证书颁发机构(CA)
weixin_45849066的博客
06-07 2162
步骤 1 — 安装 Easy-RSA sudo apt update sudo apt install easy-rsa 步骤 2 — 准备公钥基础设施目录 mkdir ~/easy-rsa ln -s /usr/share/easy-rsa/* ~/easy-rsa/ chmod 700 /home/sammy/easy-rsa cd ~/easy-rsa ./easyrsa init-pki 第 3 步 - 创建证书颁发机构 cd ~/easy-rsa nano vars 更给如下操作 set_va
Centos7建立隧道
qq_42869878的博客
01-22 3492
在CentOS 7环境下搭建OpenVPN服务,Windows客户端、Linux客户端通过OpenVPN服务访问后端机器。 主机规划与架构 服务器名称(hostname) 操作系统版本 内网IP 外网IP(模拟) 角色 web01 CentOS7.7 172.16.10.191 无 被访问机器 web02 CentOS7.7...
java生成crl_java 代码实现 签发(制作)CRL(证书吊销列表)文件,
06-09
生成CRL文件的Java代码实现可以使用Java Security API中的X509CRL类。下面是一个简单的示例代码,可以生成一个包含撤销证书序列号的CRL文件: ```java import java.io.FileOutputStream; import java.math.BigInteger; import java.security.cert.X509CRL; import java.security.cert.X509CRLEntry; import java.security.cert.X509Certificate; import java.util.Date; import java.util.HashSet; import java.util.Set; public class CRLGenerator { public static void main(String[] args) throws Exception { // 读取CA证书和私钥 X509Certificate caCert = readCertFromFile("ca.crt"); PrivateKey caPrivateKey = readPrivateKeyFromFile("ca.key"); // 获取需要撤销的证书序列号 BigInteger revokedSerialNumber = new BigInteger("123456"); // 创建CRL条目 X509CRLEntry crlEntry = new X509CRLEntry(revokedSerialNumber, new Date()); // 创建CRL X509CRL crl = createCRL(caCert, caPrivateKey, crlEntry); // 保存CRL到文件 FileOutputStream out = new FileOutputStream("crl.crl"); out.write(crl.getEncoded()); out.close(); } private static X509CRL createCRL(X509Certificate caCert, PrivateKey caPrivateKey, X509CRLEntry crlEntry) throws Exception { // 创建CRL发行者名称 X500Name issuerName = new JcaX509CertificateHolder(caCert).getSubject(); // 创建CRL X509v2CRLBuilder crlBuilder = new X509v2CRLBuilder(issuerName, new Date()); crlBuilder.addCRLEntry(crlEntry); // 计算CRL的数字签名 ContentSigner signer = new JcaContentSignerBuilder("SHA256withRSA").build(caPrivateKey); X509CRLHolder crlHolder = crlBuilder.build(signer); // 将CRL转换为X509CRL对象 JcaX509CRLConverter converter = new JcaX509CRLConverter(); X509CRL crl = converter.getCRL(crlHolder); return crl; } private static X509Certificate readCertFromFile(String certFile) throws Exception { FileInputStream in = new FileInputStream(certFile); CertificateFactory factory = CertificateFactory.getInstance("X.509"); X509Certificate cert = (X509Certificate) factory.generateCertificate(in); in.close(); return cert; } private static PrivateKey readPrivateKeyFromFile(String keyFile) throws Exception { FileInputStream in = new FileInputStream(keyFile); byte[] keyBytes = new byte[in.available()]; in.read(keyBytes); in.close(); PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(keyBytes); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); PrivateKey privateKey = keyFactory.generatePrivate(keySpec); return privateKey; } } ``` 这个代码示例中,我们使用Java Security API中的X509v2CRLBuilder类创建了一个包含撤销证书序列号的CRL对象,然后使用JcaX509CRLConverter类将CRL对象转换成X509CRL对象,最后将X509CRL对象保存到文件中。这个代码示例中,我们假设CA证书和私钥已经存储在文件中,并且需要撤销的证书序列号已知。在实际生产环境中,需要根据具体情况进行调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值