针对由 CA 进行签名的证书生成新的专用密钥和 CSR

已于 2022-07-25 15:23:00 修改
阅读量582 收藏 1
点赞数
文章标签: 安全
于 2022-07-25 15:13:05 首次发布
原文链接:https://www.ibm.com/docs/zh/bigfix-protection/9.0.0?topic=SS2TKN_9.0.0/com.ibm.tivoli.tem.doc_9.0/SUA_9.0/com.ibm.license.mgmt.doc/security/t_generate_certificate_CA.html
版权

针对由 CA 进行签名的证书生成新的专用密钥和 CSR

对于由认证中心 (CA) 进行签名的证书,服务器随附了专用密钥以及已签名的证书。您可以针对由 CA 进行签名的证书生成新的专用密钥和证书签名请求 (CSR)。您可能想针对由 CA 进行签名的证书生成新的专用密钥和 CSR,例如,在尚未建立公用密钥基础结构 (PKI) 时,情况就是如此。

关于此任务

您可以将此 CSR 发送给外部 CA 以进行签名,也可以创建专用 CA 并使用专用 CA 对 CSR 进行签名。您可以在任何计算机上创建专用 CA,前提是其操作系统支持 openSSL。

使用外部 CA 的优点是,在缺省情况下,已知公用 CA 的根证书将导入到流行的 Web 浏览器中。使用专用 CA 的优点是不依赖于外部实体提供证书,并且没有成本。

过程

  1. 通过打开命令行控制台并输入下列命令,生成新的专用密钥和证书签名请求 (CSR): 
    openssl genrsa -out key_name.key key_strength -sha256
    注: 添加 -des3 选项可以生成受密码保护的密钥,例如: 
    openssl genrsa -des3 -out key_name.key key_strength -sha256
openssl req -new -key key_name.key -out csr_name.csr
    其中:

    csr_name

    是要创建的 CSR 文件的名称。

    key_name

    是新密钥的名称。

    key_strength

    是密钥的强度,以位数计。

    sha256

    是签名散列算法。

    例如:

    openssl genrsa -out privateKey.key 2048 -sha256

openssl req -new -key privateKey.key -out csr.csr
    这将创建证书请求。此 CSR 用作已签名证书的临时占位符,直到您在服务器设置面板中将该证书导入到密钥库为止。现在,该证书必须由 CA 进行签名,才能完成为服务器生成已签名证书的过程。您可以将此 CSR 发送给外部 CA 进行签名,也可以创建专用 CA。
  2. 可选: 创建专用 CA 并对 CSR 进行签名。如果您打算创建并使用专用 CA,而不使用外部 CA,请完成以下过程。
    1. 通过运行下列命令,创建 CA 专用密钥和 CSR: 
      mkdir ca

openssl req -new -newkey rsa:key_strength -nodes -out path_to_csr.csr -keyout path_to_keyfile.key -sha256
      其中:

      key_strength

      是密钥的强度,以位数计。

      path_to_csr

      是 CSR 的路径。

      path_to_keyfile

      是 CA 密钥文件的路径。

      示例: 
      openssl req -new -newkey rsa:2048 -nodes -out ca/ca.csr -keyout ca/ca.key -sha256
    2. 对 CA CSR 进行签名,以便为新的专用 CA 构建证书: 
      openssl x509 -signkey path_to_keyfile.key -days 
number_of_days -req -in path_to_csr.csr -out path_to_ca_cert.arm -sha256
      其中:

      path_to_keyfile

      是 CA 密钥文件的路径。

      number_of_days

      是此证书的有效天数。

      path_to_ca_cert

      是 CA 证书文件的路径。

      示例: 
      openssl x509 -signkey ca/ca.key -days 7300 -req -in ca/ca.csr -out ca/ca.arm -sha256

    3. 对此 CSR 进行签名。 仅当使用专用 CA 时,才需要对 CSR 进行签名。

      注: 如果使用外部 CA,那么必须将此 CSR 发送给 CA 管理员以进行签名。

      运行以下命令,以便对此 CSR 进行签名: 
      openssl x509 -req -days 7300 -in path_to_csr -CA ca/ca.arm -CAkey path_to_keyfile -out cert.arm -set_serial 01 -sha256
      其中:

      path_to_csr

      是您创建的证书签名请求文件的路径。

      path_to_keyfile

      是您创建的 CA 密钥文件的路径。

      cert.arm

      是生成的服务器证书。

      ca.arm

      是必须用于对此 CSR 进行签名的 CA 证书。

      例如: 
      openssl x509 -req -days 7300 -in csr.csr -CA ca/ca.arm -CAkey ca/ca.key -out cert.arm -set_serial 01 -sha256
    新创建的文件 ca.arm 包含专用 CA 的根证书。现在,可以在服务器设置面板中导入证书 cert.arm 和专用密钥 privateKey.key。
jgw2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr
曹立禄的个人博客
03-30 1万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
一文搞清电子认证相关概念:CA证书、PKI、CSR、SSL、TSL、CRT、CER、PEM、RSA等
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-18 5007
文章目录电子认证公钥基础设施(PKI)安全认证机构CA证书SSLTSLCSR是什么SSL证书格式SSL证书文件OpenSSL证书操作1、查看2、转换3、组合4、提取RSA参考资料 电子认证 电子认证就是通过一个或几个值得信赖的第三方将被认定的签名签名者的姓名与特定的公共密码联系起来。 公钥基础设施(PKI) Public Key Infrastructure(PKI) 可信赖的机构就是认证机构,按不同的层次构建起来,形成公钥基础设施。 在公共基础设施的构成中,认证机构(CA)及相关的证书管理设施居于核心地
openssl生成CSR和私钥
weixin_49032281的博客
09-06 505
openssl生成CSR和私钥
CA证书生成https证书、转换格式、导出公钥私钥(.pem、.crt、.cer、.pfx)
小龙在线
06-17 9127
格式说明 PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有: PKCS#7 Cryptographic Message Syntax Standard PKCS#10 Certification Request Standard PKCS#12 Personal Information Exchange Syntax Standard X.5
git上传如何忽略node_modules
weixin_44524835的博客
11-09 2750
创建.gitignore文件 点击项目文件,右键选择Git Bash进入命令行,输入touch .gitignore,生成.gitignore文件。 在生成的.gitignore文件里输入你要忽略的文件件及其文件即可。 // .gitignore文件 node_modules/ dist/ 配置规则: 以斜杠“/”开头表示目录; 以星号“*”通配多个字符; 以问号“?”通配单个字符; 以方括号“[]”包含单个字符的匹配列表; 以叹号“!”表示不忽略(跟踪)匹配到的文件或目录。 git 对于 .ig
Windows下证书私钥和证书请求CSR生成工具
12-05
Windows下证书私钥和证书请求CSR生成工具,一键生成私钥和CSR文件,直接发给证书供应商或者自签名就可以了
JAVA关于SSL证书请求的CSR文件及用户秘钥的生成工具类
04-23
工具内容有完整的CSR生成及对应秘钥保存,使用java.securtiy Signature类
django-darkknight:SSL密钥CSR生成和管理
05-21
Django Dark Knight生成,存储和管理私钥和证书签名请求。 黑暗骑士GPG Dark Knight支持检索使用gpg加密的私钥。 启用: 安装django-darkknight [gpg] 将darkknight_gpg添加到INSTALLED_APPS 将apptemplates....
certstrap:用于引导CA证书请求和签名证书的工具
01-28
一个用Go编写的简单证书管理器,用于引导您自己的证书颁发机构和公共密钥基础结构。 改编自etcd-ca。 如果您不想处理openssl,其众多选项或配置文件,certstrap是一个非常方便的应用程序。 常见用途 certstrap允许...
ios-csr:在iOS中生成CSR证书签名请求)
02-04
ios-csr:在iOS中生成CSR证书签名请求)
http(S)系列之(三):https单/双向认证区别
foshengtang的博客
10-19 1727
前言 没有梗了,挖槽,不是朕的风格,硬来一个:昨晚做梦妻妾成群,年收入超千万了,可惜被儿子一泡尿滋醒了 参考文献 扯一扯HTTPS单向认证、双向认证、抓包原理、反抓包策略 提醒:参考文献里面涉及到单向认证和双向认证的说明我个人感觉不是很严谨,因为这里的图解准确说应该是HTTPS单/双向认证SSL握手图解 正文 HTTPS中的S表示SSL或者TLS,就是在原HTTP的基础上加上一层用于数据加密、解密、身份认证的安全层,即 HTTP + 加密 + 认证 + 完整性保护 = HTTPS HTTPS单向认证S
Linux(openssl):创建CA证书,并用其对CSR进行签名
最新发布
风静如云的博客
11-29 1285
输入2.2中的server私钥密码,创建签名后的server证书文件server.cer。输入2.2中的server私钥密码,会创建CSR文件server.csr。输入私钥的密码后,在ca目录下生成ca证书文件ca.cer。输入两次密码,会创建server私钥文件server.key。输入私钥的密码后,在ca目录下生成csr文件ca.csr。输入两次密码后,在ca目录下生成了私钥文件ca.key。C-----国家(Country Name)1.1创建CA证书目录ca,并进入ca
ca证书 csr_详解CSR和CER的关系
weixin_39516956的博客
12-20 4390
什么是CSRCSR是Cerificate Signing Request的英文缩写,即证书请求文件,在多方之间在互联网上安全分享数据的公钥基础架构PKI系统中,CSR文件必须在申请和购买通常CSR文件是在拿到参考码、授权码进行证书签发和下载时,通过网页提交给CA的(也可以由浏览器自动生成)。在收集齐全所需CSR数据后,CA生成SSL证书CSR生成方式取决于web服务器软件的类型。CER是什...
生成签名证书生成证书和秘钥
技术分享
07-12 4771
SSL- Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.......
Kubernetes单节点部署(一)
LS19990712的博客
01-16 1377
Kubernetes群集架构图: 各个组件及含义: 1、Master组件 ●kube-apiserver Kubernetes API,集群的统一入口,各组件协调者,以RESTful API提供接口服务,所有对象资源的增删改查和监听操作都交给APIServer处理后再提交给Etcd存储。 ●kube-controller-manager 处理集群中常规后台任务,一个 资源对应一个...
公钥、私钥、证书生成
qq_38949960的博客
03-29 895
公钥加密 私钥解密私钥加签 公钥验签。
生成CA证书、公钥、私钥指令(数字证书
embbls的博客
02-22 5027
感觉写的不错,结构清晰,而且马上能用上,所以转了过来. 一、生成CA证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期, 查看证书有效期:openssl x509 -in server.crt -noout -dates 二.
RSA密钥证书生成
weixin_43369218的博客
07-06 8194
首先需要下载OpenSSL软件,一直点击下一步就好,链接: 链接:https://pan.baidu.com/s/1uHNpKGF9j9c1bQ6QAwtpOA 提取码:myit (百度网盘分享无须官网下载,如若不好使请私信或者评论) 1.生成RSA私钥(无加密) openssl genrsa -out rsa_private.key 2048 2.生成RSA公钥 openssl rsa -in rsa_private.key -pubout -out rsa_public...
ca证书 csr_SSL证书请求文件(CSR)生成指南
weixin_39603469的博客
12-20 1145
前言于Oray购买并安装SSL数字证书前,你必须在服务器上制作一个CSR文件,该文件中的公钥会用来生成私钥。CSR(Cerificate Signing Request)为公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心。操作步骤使用OpenSSL工具,路径一般为/usr/local/ssl/bin/———————————————————————————————————...
openssl生成一个ECC的CA证书密钥
06-12
您可以按照以下步骤使用 OpenSSL 生成一个 ECC 的 CA 证书密钥: 1. 生成 ECC 的 CA 私钥: ``` openssl ecparam -name prime256v1 -genkey -noout -out ca.key ``` 2. 生成 ECC 的 CA 证书签发请求: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值