如何用 CFSSL 从零开始快速构建一套私有 PKI

最新推荐文章于 2024-01-19 01:06:05 发布
最新推荐文章于 2024-01-19 01:06:05 发布
阅读量1.1k 收藏 7
点赞数 1
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247525690&idx=1&sn=aca559a53825e5fcf57b6c4779797845&chksm=eac64413ddb1cd05b610faa2eabc5381c2bc71eb39abc461c8934bc8ca3795ff829847166047&scene=126&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

f986bc425f3057245d4e214a3573dde6.png

Synopsis

本文档会介绍如何用 cfssl 从零构建起一套 PKI,包括签发根证书(rootCA)、中间证书和叶子证书,以及通过 CRL 实现证书吊销列表。

fe54269ed4d707957a5ee208066fe774.png

Background

1、证书编码格式

  • PEM(Privacy Enhanced Mail)

通常用于数字证书认证机构(Certificate Authorities,CA),扩展名为.pem, .crt, .cer, 和  .key。 内容为 Base64 编码的 ASCII 码文件,有类似"-----BEGIN CERTIFICATE-----" 和  "-----END CERTIFICATE-----"的头尾标记。 服务器认证证书,中级认证证书和私钥都习惯储存为 PEM 格式。Apache 和 nginx 等类似的服务器使用 PEM 格式证书。

  • DER(Distinguished Encoding Rules)

与 PEM 不同之处在于其使用二进制而不是 Base64 编码的 ASCII。扩展名为.der,但也经常使用.cer用作扩展名。

Install

Go >= 1.18 的话可以直接安装(其他安装方式可以参考官方 repo)

go install github.com/cloudflare/cfssl/cmd/...@latest

初始化配置

cfssl print-defaults config > config.json

会生成默认配置文件 config.json,按照自己的需求修改一下:

(更多可参考官方代码库)

{
  "signing": {
    "default": {
      "expiry": "87600h",
      "crl_url": "https://s3.laisky.com/public/laisky.crl"
    },
    "profiles": {
      "leaf": {
        "expiry": "87600h",
        "usages": ["signing", "key encipherment", "server auth"]
      },
      "intermediate": {
        "expiry": "87600h",
        "usages": ["cert sign", "crl sign"],
        "ca_constraint": {
          "is_ca": true
        }
      }
    }
  }
}

其中 profiles 可以包含多个配置:

  • intermediate:表示中间 CA,用于签发下一级 CA 或叶子证书,一般不用于加密

  • leaf:叶子证书,仅用于加密

签发根证书

# 生成 csr.json 模版
cfssl print-defaults csr > csr.json

稍微修改一下 csr.json

(最重要的是 CNhostskey

{
  "CN": "laisky.com",
  "hosts": ["laisky.com", "*.laisky.com"],
  "key": {
    "algo": "ecdsa",
    "size": 256
  },
  "names": [
    {
      "C": "CN",
      "ST": "SH",
      "L": "Shanghai",
      "O": "Laisky"
    }
  ],
  "ca": {
    "expiry": "87600h"
  }
}

相关字段说明见 Creating a new CSR:

  • CN: commonName,一般用作用户名(一般应唯一)

  • O: organizationName,一般用作用户组名

  • OU: organisationalUnit,

  • C: country,国家

  • L: localityName, 城市或城镇名

  • ST: stateOrProvinceName, 州/省 名

  • STREET: streetAddress

  • DC: domainComponent

签发根证书:

cfssl genkey -initca csr.json | cfssljson -bare ca

会生成三个文件:

  • ca-key.pem: 私钥

  • ca.csr: 生成证书用的 CSR 文件

  • ca.pem: 证书

ℹ️ 生成证书的流程为:

  1. 生成随机私钥

  2. 编写 CSR 文件

  3. 用私钥签发 CSR,生成证书

用 rootCA 签发次级 CA

建立一个 l2 文件夹,来放置二级证书相关的文件。

mkdir l2
cd l2

ℹ️ 证书(certificate)分为普通证书和 CA 证书。 CA 证书可以继续用来签发下一级证书,而普通证书只能用来协商加密。

具体看 X509v3 extensions: 中的如下字段:

  • X509v3 Key Usage:

    • CA 证书:Certificate Sign, CRL Sign

    • 普通证书:Digital Signature, Key Encipherment

  • X509v3 Basic Constraints:

    • CA 证书:CA:TRUE

    • 普通证书:CA:FALSE

首先准备好 csr.json

{
  "CN": "l2.laisky.com",
  "hosts": ["l2.laisky.com", "*.l2.laisky.com"],
  "key": {
    "algo": "ecdsa",
    "size": 256
  },
  "names": [
    {
      "C": "CN",
      "ST": "SH",
      "L": "Shanghai",
      "O": "Laisky"
    }
  ]
}

cfssl 签发中间证书的流程和传统的 openssl 操作略有不同:

  1. 传统方式是会生成一个 CA 证书的 CSR,交给上一级 CA 签署

  2. cfssl 则是生成一个普通 CSR,上一级 CA 根据 config.json 中的配置生成 CA 或叶子证书。(如果有特殊需求,也可以通过 genkey 带上 -initca 参数生成 CA CSR)

# 生成私钥和 CSR
cfssl genkey -config ../config.json -profile intermediate csr.json | cfssljson -bare

# 如果已经有私钥,也可以只生成 CSR
cfssl gencsr -key cert-key.pem csr.json | cfssljson -bare

会生成三个文件:

  • cert-key.pem:私钥

  • cert.csr:证书 CSR

查看 CSR 内容:

(其中没有 CA:TRUE,说明其是一个申请叶子证书的普通 CSR,不过没关系,cfssl 会在实际签发的时候根据配置文件来判断)

✗ openssl req -text -noout -verify -in cert.csr
# 也可用 cfssl certinfo -csr cert.csr

✗ openssl req -text -noout -verify -in cert.csr
Certificate request self-signature verify OK
Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: C = CN, ST = SH, L = Shanghai, O = Laisky, CN = l2.laisky.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:db:54:d1:ba:e6:10:86:f0:84:1d:27:aa:46:75:
                    99:c3:09:33:03:65:4b:1e:24:bc:85:34:3a:4c:d4:
                    b7:84:f3:0c:a3:dd:41:27:4a:34:e0:d4:a0:1a:a8:
                    cf:a3:cf:a2:12:31:12:0b:78:f1:d4:da:5c:fc:5e:
                    9b:03:bb:c4:b2
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        Attributes:
            Requested Extensions:
                X509v3 Subject Alternative Name:
                    DNS:l2.laisky.com, DNS:*.l2.laisky.com
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:46:02:21:00:bd:0c:a6:fd:7d:da:6e:87:8a:cf:7a:77:b3:
        41:9e:e0:4d:a0:cf:0e:39:0a:f1:48:95:5a:57:c0:bb:13:f3:
        37:02:21:00:81:aa:a7:a2:da:01:0e:96:48:ff:d6:17:05:f9:
        aa:e9:59:56:c6:ff:3b:0f:ce:4a:f1:b6:4f:77:9c:41:f6:0a

ℹ️ x509 证书链:

  1. 次级 CA,生成自己私钥

  2. 次级 CA,将想要生成的证书内容写入 csr,交给上一级(本例中为 rootCA)

  3. 上一级通过自己的私钥、CA 按照 csr 内容签发下一级的证书

由 rootCA 签发证书:

cfssl sign \
    -ca ../ca.pem \
    -ca-key ../ca-key.pem \
    -config ../config.json \
    -profile intermediate \
    -csr cert.csr | cfssljson -bare

会生成 cert.pem 证书文件,可以用 openssl 查看其内容:

(注意 CA:TRUE

✗ openssl x509 -in cert.pem -noout -text
# 也可以用 cfssl certinfo -cert cert.pem 查看

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            2b:dd:d6:75:ad:40:3c:a1:3e:fe:97:6d:63:15:44:24:6b:51:15:c5
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, ST = SH, L = Shanghai, CN = laisky.com
        Validity
            Not Before: Sep 13 02:18:00 2022 GMT
            Not After : Sep 10 02:18:00 2032 GMT
        Subject: C = CN, ST = SH, L = Shanghai, O = Laisky, CN = l2.laisky.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:db:54:d1:ba:e6:10:86:f0:84:1d:27:aa:46:75:
                    99:c3:09:33:03:65:4b:1e:24:bc:85:34:3a:4c:d4:
                    b7:84:f3:0c:a3:dd:41:27:4a:34:e0:d4:a0:1a:a8:
                    cf:a3:cf:a2:12:31:12:0b:78:f1:d4:da:5c:fc:5e:
                    9b:03:bb:c4:b2
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                14:5B:C1:43:9E:0F:B2:02:50:58:CB:BC:0F:EA:FD:C2:9F:73:51:80
            X509v3 Authority Key Identifier:
                63:4F:CF:04:42:60:CC:4A:C1:CA:CB:D6:36:77:BF:7C:1F:59:F7:FA
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:46:02:21:00:83:6a:41:55:90:b6:67:ae:91:18:f7:e6:8b:
        f9:89:91:ca:83:3d:43:7d:54:fe:15:f0:5d:7f:19:23:05:ef:
        9d:02:21:00:85:83:ee:7c:19:67:72:13:99:c9:ed:d9:d1:69:
        b9:e7:df:e7:27:c4:43:29:ad:e5:1c:97:67:66:2b:b7:1a:15

签发叶子证书

用 CA 可以签发下级 CA,也可以签发叶子证书(leaf certificate)。叶子证书仅用于加密,不能再用来签发下级 CA 或证书。

# 创建 ./l2/l3
mkdir l3
cd l3

# 创建 csr.json
cat <<< '
{
    "CN": "l3.laisky.com",
    "hosts": [
        "l3.laisky.com",
        "*.l3.laisky.com"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "ST": "SH",
            "L": "Shanghai",
            "O": "Laisky"
        }
    ]
}' > csr.json

# 生成私钥
cfssl genkey \
 -config ../../config.json \
 -profile leaf csr.json | cfssljson -bare

# 用 l2 CA 签发 l3 叶子证书
cfssl sign \
    -ca ../cert.pem \
    -ca-key ../cert-key.pem \
    -config ../../config.json \
    -profile leaf \
    -csr cert.csr | cfssljson -bare

验证证书

通过 openssl:

# 用 rootCA 验证 l2 CA
✗ openssl verify -CAfile ca.pem l2/cert.pem
l2/cert.pem: OK

# 用 rootCA、l2CA 验证 l3 证书
✗ openssl verify -CAfile ca.pem --untrusted l2/cert.pem l2/l3/cert.pem
l2/l3/cert.pem: OK

1、为服务端配置证书链

前文中为了验证 l3 证书需要借助证书链的所有 CA 证书。有两种方式提供完整的证书链:

  1. verifier 准备好所有的证书,然后去验证叶子证书

  2. tester 准备好完整证书链,verifier 仅需准备 root CA

本节主要介绍第二种,也是实践中最为常见的方式。这种方式下的客户仅需要在新任根中添加 rootCA,即可验证所有派生的中间证书和叶子证书。

a9bfa2d9a594a8753b557a28d9dc3ae0.png

(如图所示,服务端一次性提供了完整证书链)

服务端(tester)Go 代码:

package main

import (
 "crypto/tls"
 "crypto/x509"
 "encoding/pem"
 "log"
 "net/http"
 "os"
)

func panicErr(err error) {
 if err != nil {
  panic(err)
 }
}

func parseCert(cnt []byte) *x509.Certificate {
 blk, _ := pem.Decode(cnt)
 cert, err := x509.ParseCertificate(blk.Bytes)
 panicErr(err)
 return cert
}

func pem2der(p []byte) []byte {
 b, _ := pem.Decode(p)
 return b.Bytes
}

func main() {
 caCertPem, err := os.ReadFile("../ca.pem")
 panicErr(err)

 l2CertPem, err := os.ReadFile("../l2/cert.pem")
 panicErr(err)

 l3CertPem, err := os.ReadFile("../l2/l3/cert.pem")
 panicErr(err)
 // l3Cert := parseCert(l3CertPem)

 l3keyPem, err := os.ReadFile("../l2/l3/cert-key.pem")
 panicErr(err)
 l3key, err := x509.ParseECPrivateKey(pem2der(l3keyPem))
 panicErr(err)

 // 准备好完整证书链, l3 crt -> l2 crt -> root CA
 tlsCfg := &tls.Config{
  Certificates: []tls.Certificate{
   {
    Certificate: [][]byte{pem2der(l3CertPem), pem2der(l2CertPem), pem2der(caCertPem)},
    PrivateKey:  l3key,
   },
  },
 }

 mux := http.NewServeMux()

 mux.HandleFunc("/hello", func(w http.ResponseWriter, r *http.Request) {
  w.Header().Set("Content-Type", "text/plain")
  w.Write([]byte("world\n"))
 })

 server := &http.Server{
  Handler:   mux,
  Addr:      ":10443",
  TLSConfig: tlsCfg,
 }
 if err := server.ListenAndServeTLS("", ""); err != nil {
  log.Println("exit, ", err.Error())
 }
 panicErr(err)
}

客户端 Go 代码:

package main

import (
 "crypto/tls"
 "crypto/x509"
 "encoding/pem"
 "io"
 "log"
 "net/http"
 "os"
)

func panicErr(err error) {
 if err != nil {
  panic(err)
 }
}

func parseCert(cnt []byte) *x509.Certificate {
 blk, _ := pem.Decode(cnt)
 cert, err := x509.ParseCertificate(blk.Bytes)
 panicErr(err)
 return cert
}

func main() {
 // 因为服务端提供了完整的证书链,
 // tester 仅需预先配置 rootCA 即可
 caCertPem, err := os.ReadFile("../ca.pem")
 panicErr(err)

 capool := x509.NewCertPool()
 capool.AddCert(parseCert(caCertPem))

 cli := &http.Client{
  Transport: &http.Transport{
   TLSClientConfig: &tls.Config{
    RootCAs: capool,
   },
  },
 }

 resp, err := cli.Get("https://l3.laisky.com:10443/hello")
 panicErr(err)
 defer resp.Body.Close()

 respBytes, err := io.ReadAll(resp.Body)
 panicErr(err)
 log.Printf("resp: %s", string(respBytes))
}

通过 CRL 吊销证书

ℹ️ 吊销证书一般有两种方式:

  1. OCSP:提供一个服务端接口,实时请求

  2. CRL 提供一个 CRL 文件,列举已吊销的证书。CRL 文件一般会以公网 URL 的形式提供,可以内嵌到证书文件中。在公网发布时,采用二进制的 DER 格式。

92bdaee4ca37e4f7c02e18a7f753f387.png

通过 cfssl 工具生成 CRL 文件有如下步骤:

  1. 获取要吊销的证书的 serial number(big int),将其转为 string 保存到文本文件,每一行对应一个序列号

  2. 通过 cfssl 生成 crl,然后用 openssl 转存为 pem 格式

# 本例中我们会将 l3 证书吊销。
# 将 l3 证书的序列号提取到文本文件
#
# 需要注意的是,openssl 等工具习惯用 16 进制表示序列号,
# 而 cfssl 用十进制来表示序列号。
cfssl certinfo -cert l2/l3/cert.pem | jq .serial_number | tr -d '"' > crl.txt

# 用 cfssl 生成二进制 DER 文件
# 对外用 URI 发布时,就发布该 DER 文件
#
# CRL 文件可以设置有效期,单位为秒,用于提示使用方,应该定期更新 CRL 文件。
cfssl gencrl crl.txt ca.pem ca-key.pem 604800 | base64 -d > crl.der

# 用 openssl 转存为 pem 格式
openssl crl -inform DER -out crl.pem

可以用 openssl 查看 crl 内容:

✗ openssl crl -text -noout -in crl.pem
# 也可通过 openssl crl -text -noout -in crl.der

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, ST = SH, L = Shanghai, CN = laisky.com
        Last Update: Sep 13 06:51:36 2022 GMT
        Next Update: Sep 20 06:51:36 2022 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                63:4F:CF:04:42:60:CC:4A:C1:CA:CB:D6:36:77:BF:7C:1F:59:F7:FA
Revoked Certificates:
    Serial Number: 533C693318EF7E13EED4846CEA5C63ECAE9F7713
        Revocation Date: Sep 13 06:51:36 2022 GMT
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:44:02:20:50:1b:27:c4:0b:23:63:4c:fb:c9:32:93:eb:17:
        bd:26:c3:9d:f5:94:ab:cc:82:22:13:4a:2d:b1:17:9f:41:08:
        02:20:59:ef:ba:34:f0:8c:00:0c:42:17:18:d7:e8:8b:a8:4d:
        f9:11:06:65:d1:70:61:9f:ce:e3:52:30:c3:2c:88:ea

可以把 crl.der 文件上传到公网,然后将 URL 注入到证书中(在 config.json 中配置 crl_url 即可)。

1、Golang

即使服务端证书设置了 CRL URI,Go 原生客户端仍然不会自动检查,目前看来只能手动 check。

完善的检查方式为:

  1. 遍历服务端证书链,取得所有的 cert.CRLDistributionPoints(CRL URI)

  2. 遍历下载所有的 CRL 文件,加载所有的 crl.TBSCertList.RevokedCertificates

  3. 双重 for 循环,一一对比证书链的证书和 CRL 中的吊销列表的序列号

// check cert by crl.pem
//
// prepare crl.txt
//
// cfssl certinfo -cert l2/l3/cert.pem | jq .serial_number | tr -d '"' > crl.txt
//
// generate crl.pem:
//
// cfssl gencrl crl.txt ca.pem ca-key.pem 604800 | base64 -d | openssl crl -inform DER -out crl.pem
//
// check CRL:
//
// openssl crl -text -noout -in crl.pem
func checkCRL(certs ...*x509.Certificate) {
 rawCRL, err := os.ReadFile("crl.pem")
 panicErr(err)

 crl, err := x509.ParseCRL(rawCRL)
 panicErr(err)

 if crl.TBSCertList.NextUpdate.Before(time.Now()) {
  panic("crl is expired")
 }

 for _, c := range certs {
  for _, rc := range crl.TBSCertList.RevokedCertificates {
   if c.SerialNumber.Cmp(rc.SerialNumber) == 0 {
    log.Panicf("cert revoked: %s - %s", c.DNSNames[0], c.SerialNumber.String())
   }
  }
 }

 log.Println("crl verified")
}

ℹ️ 也有观点认为没必要做在线吊销检查,见 No, don’t enable revocation checking

本文转载自:「 LaiSky 的博客 」,原文:https://url.hi-linux.com/FS2c8 ,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

892d5bf2b1da4ab7bb92b22d70bc3067.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

c9383942f5c04101851ba601bf7f1750.png

你可能还喜欢

点击下方图片即可阅读

40a1dc29e2d5fb52b7217d5c4da44c48.png

如何使用 WireGuard 组建非对称路由

593711efe4739e0ae92e4c5720880f4f.png

点击上方图片,『美团|饿了么』大额外卖红包天天免费领

f49c2ee082ef66764d121412b73c16dc.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cfssl安装及使用
qq_20779397的博客
04-13 391
安装方式有很多中,可以通过wget、curl等指令安装,由于本人虚拟机网速及CA认证问题,选择在虚拟机外下载,然后上传操作。cfssl是本地生成CA证书的一种重要方式,另外一种openssl,是搭建k8s集群中不可缺少的一步。下载后将应用上传到系统/usr/local/bin/目录下,并。现在之前需要确认待安装的系统的信息,使用uname -m查看。2、返回i686、i386等,下载适配32bit的应用。下载地址:https://pkg.cfssl.org。1、返回x86-64,下载适配64bit的应用。
cfsslcfssl-certinfo、cfssljson linux库
07-17
cfssl_linux-amd64 cfssl-certinfo_linux-amd64 cfssljson_linux-amd64
使用 cfssl 工具生成证书离线部署Harbor企业级私有镜像仓库(超详细无坑)
Mr.L-OAM的博客
06-05 1958
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,目标是帮助用户迅速搭建一个企业级的 Docker 镜像管理中心,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。
cfssl使用方法重新整理说明
m0_46900715的博客
05-24 1511
cfssl使用方法重新整理说明
cfssl简单使用
最新发布
janthinasnail的博客
01-19 1512
CA根证书配置文件,一般命名为ca-config.json,它用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景 (profile)。查看某个命令使用:cfssl [command] -help,其中[command]为某个命令名称。2) CA根证书及其私钥创建过程不需要甚至该字段。生成自签名根 CA 证书和私钥。生成证书签名请求和私钥。生成 CA 秘钥文件(目标证书签名请求文件。
grpc、https、oauth2等认证专栏实战7:使用cfssl来制作证书介绍
码二哥的技术池
08-15 1365
1、cfssl 介绍已发表的技术专栏(订阅即可观看所有专栏)0  grpc-go、protobuf、multus-cni 技术专栏 总入口1  grpc-go 源码剖析与实战  文章目录2  Protobuf介绍与实战 图文专栏  文章目录3  multus-cni   文章目录(k8s多网络实现方案)4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录1、cfssl 介绍使用cfssl创建证书1.1、主要流程1.2、创建证书时,用到的配置文件简单介绍。...
cfsslCFSSL:Cloudflare的PKI和TLS工具包
02-28
cfssl程序,它是使用CFSSL软件包的规范命令行实用程序。 multirootca程序,它是可以使用多个签名密钥的证书颁发机构服务器。 mkbundle程序用于构建证书池捆绑包。 的cfssljson程序,这需要从所述JSON输出cfssl和...
用OpenCA构建自己的PKI
10-10
随着互联网络的飞速发展, 网络中的安全问题日益受到人们的重视。众所周知, PKI 公钥基础设施是目前 ...的配置、使用过程比较繁杂, 并且相关文档比较缺乏, 因此本文通过讲解笔者用OpenCA 搭建的一套PKI 系统
certomancer:使用简单的声明性配置快速构建,模拟和部署PKI测试配置
03-28
子宫颈癌使用简单的声明性配置快速构建,模拟和部署PKI测试配置。 包括CRL,OCSP和时间戳服务设置。 使用python setup.py install ,有关示例配置文件,请参见example.yml 。 CLI带有内置的帮助功能(尽管在此阶段它...
演示:使用PKI架构保护Web访问的安全实现SSL
03-02
使用PKI架构保护Web访问的安全SSL如下图3.57所示。微软windows2003服务器集成的IIS组件、证书组件。在该环境中,首先要部署192.168.201.100为网络中的DNS和Web服务器,关于它的部署不是本书所描述的范围,所以请教师...
SSL证书详解和CFSSL工具使用
江晓龙的博客
05-01 4351
SSL证书详解和CFSSL工具使用 1.公钥基础设施PKI基础概念 CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。 密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。 RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据只能用另一个密码解开,用自己的都解不了,也就是说用公钥加密的数据只能由私钥解开。 证书的编码
cfssl详解1
qq_41768644的博客
07-19 656
参数是CSR文件,而不是CSRJSON文件,使用 - 可以从标准输入读取CSR文件,CSR文件也可以通过-csr选项引入。-hostname 一般是服务器或者集群的ip列表或者域名,可用于覆盖SANs。-cn 一般用于设置CN。打印默认证书请求文件。
cfssl怎么用
weixin_42612804的博客
01-16 376
CFSSL (CloudFlare's SSL) 是一个开源的证书管理工具。它可以帮助用户在本地生成证书签名请求 (CSR)、自签名证书、根证书等。 使用 CFSSL 的一般流程如下: 安装 CFSSL,可以通过下载二进制文件或源代码编译安装。 使用 CFSSL 生成私钥和证书签名请求 (CSR)。 将 CSR 提交给证书颁发机构 (CA) 进行签发。 将签发的证书与私钥配对使用。 可以...
使用cfssl为程序添加https证书
liuyij3430448的博客
04-02 1145
相关配置文件在 /config/demo1 下实例1:创建一个自定义的CA机构根证书,使用这个根证书实现对其他证书的颁发,让浏览器能够信息此证书例如自定义的CA机构名称为LYJCA , 要签发一个网址为 api.liuyijiang.com DV证书CA根证书就是一个自签名证书 可以使用./cfssl gencert -initca xx.json 命令创建在此之前先创建一个证书签名请求文件csr配置json可以使用先创建一个证书签名请求文件内容模板。
PKI/TLS 工具之CFSSL —— 筑梦之路
筑梦之路
07-26 783
非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据只能用另一个密码解开,用自己的都解不了,也就是说用公钥加密的数据只能由私钥解开。保留好CSR,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的CSR来申请新的证书,key保持不变。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。证书的管理涉及很多方面比如证书链,对于很多运维管理者来说都是很繁琐的事情,CFSSL的目标之一就是为了解决证书管理在性能、兼容性以及安全性的问题。...
cfssl自签证书
zpsimon的博客
10-10 705
cfssl生成自签名证书
cfssl工具生成HTTPS证书来搭建Harbor镜像仓库
qq_45272030的博客
01-21 1393
cfssl工具生成HTTPS证书来搭建Harbor镜像仓库 cfssl工具生成HTTPS证书来搭建Harbor镜像仓库 离线部署Harbor(超详细) Harbor官方网站:http://vmware.github.io/harbor/ Harbor下载地址:https://github.com/vmware/harbor/ harbor的二进制包同时提供online(在线安装)和offline(离线安装)版本 Harbor安装方式 离线安装:资源包带offline,文件内含安装需要的一些镜像文件,容量就
CFSSL: 证书管理工具:6:理解证书文件内容
知行合一 止于至善
12-16 2306
这篇文章以Kubernetes集群创建时所使用的证书为例,对证书文件内容结合具体内容进行解释。
Etcd教程 — 第四章 Etcd集群安全配置
Mr_XiMu的博客
06-22 2811
Etcd教程 — 第四章 Etcd集群安全配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值