SSL认证之相关证书的生成

最新推荐文章于 2024-08-16 15:41:41 发布
最新推荐文章于 2024-08-16 15:41:41 发布
阅读量9.7k 收藏 42
点赞数 5
分类专栏: Kafka 文章标签: SSL证书 SSL认证 SSL认证相关文件 生成SSL证书 SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justry_deng/article/details/88383081
版权

目录

相关知识点之Kafka支持的认证处理

SSL相关证书的生成

服务器端SSL证书签发

准备工作:修改/etc/hosts文件,自定义一个hosts名

第一步:为了方便证书的保存管理,这里先专门创建几个目录来保存证书

第二步:生成server.keystore.jks文件(即:生成服务端的keystore文件)

第三步:生成CA认证证书(为了保证整个证书的安全性,需要使用CA进行证书的签名保证)

第四步:通过CA证书创建一个客户端端信任证书

第五步:通过CA证书创建一个服务端器端信任证书

第六步:服务器证书的签名处理

客户端SSL证书签发

第一步:导出客户端证书

第二步:将证书文件导入到客户端keystore

第三步:用CA给客户端证书进行签名处理

第四步:将CA证书导入到客户端keystore

第五步:将已签名的证书导入到客户端keystore

欢迎来到,我的世界!

相关知识点之Kafka支持的认证处理

  • JavaSSL认证
           SSL(Secure Socket Layer安全套接层),及其继任者传输层安全(Transport ;ayer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
  • Kerberos认证 + ACL鉴权
          Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。ACL则是在Kerberos的基础上进行的鉴权措施,一般Kerberos认证就够使用了。

SSL相关证书的生成

服务器端SSL证书签发

准备工作:修改/etc/hosts文件,自定义一个hosts名

注:windows的hosts文件在C:\Windows\System32\drivers\etc\目录下。
注:修改/etc/hosts之后正常情况应该是保存之后立即生效的,但是有时不是。使用uname -a 可以查看hostname是多少,
       就可以知道是否修改生效了。如果没有,这时的策略有:1、重启机器 2、重启服务3、使用hostname命
       令【hostname 定义的主机名】。
说明:kafka2.0.x开始,将ssl.endpoint.identification.algorithm默认设置为了HTTPS,即:需要验证主机名,所以我们这
          里可以先配置一个主机名。
          追注:不论是否需要主机名验证,都推荐配置一下hosts,比较方便。

第一步:为了方便证书的保存管理,这里先专门创建几个目录来保存证书

                    mkdir -p /usr/ca/{root,server,client,trust}

注:这四个目录分别用来存放 根证书、服务端证书、客户端正式、受信任的证书。

第二步:生成server.keystore.jks文件(即:生成服务端的keystore文件)

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-kafka-single -validity 365 -genkey -keypass ds1994 -keyalg RSA -dname "CN=kafka-single,OU=aspire,O=aspire,L=beijing,S=beijing,C=cn" -storepass ds1994 -ext SAN=DNS:kafka-single

执行效果如图:

注:这里的警告是推荐我们使用pkcs12,不过官网使用的仍然是jks,忽略这个警告即可。
注:这里的-ext SAN=DNS:xxx需要指定xxx为我们定义的主机名;-dname中的CN也需要指定为我们定义的主机名。

keytool相关指令说明:

指令

含义

-alias

别名

-keystore

指定密钥库的名称(就像数据库一样的证书库,可以有很多个证书,cacerts这个文件是jre自带的, 也可以使用其它文件名字,如果没有这个文件名字,它会创建这样一个)

-storepass

指定密钥库的密码

-keypass

指定别名条目的密码

-list

显示密钥库中的证书信息

-v

显示密钥库中的证书详细信息

-export

将别名指定的证书导出到文件

-file

参数指定导出到文件的文件名

-delete

删除密钥库中某条目

-import

将已签名数字证书导入密钥库

-keypasswd

修改密钥库中指定条目口令

-dname

指定证书拥有者信息。

其中,CN=名字与姓氏/域名,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码

-keyalg

指定密钥的算法

-validity

指定创建的证书有效期多少天

-keysize

指定密钥长度

……

第三步:生成CA认证证书(为了保证整个证书的安全性,需要使用CA进行证书的签名保证)

提示:利用Linux自带的OpenSSL创建即可。

openssl req -new -x509 -keyout /usr/ca/root/ca-key -out /usr/ca/root/ca-cert -days 365 -passout pass:ds1994 -subj "/C=cn/ST=beijing/L=beijing/O=aspire/OU=aspire/CN=kafka-single"

执行效果如图:

第四步:通过CA证书创建一个客户端信任证书

keytool -keystore /usr/ca/trust/client.truststore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass ds1994

执行效果如图:

        ……

注:有了信任证书才可以进行证书有效性的检查。

注:以后的证书必须通过CA认证后才能使用。

第五步:通过CA证书创建一个服务端器端信任证书

keytool -keystore /usr/ca/trust/server.truststore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass ds1994

执行效果如图:

        ……

注:以后的证书必须通过CA认证后才能使用。

第六步:服务器证书的签名处理

第一小步:导出服务器端证书server.cert-file。

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-kafka-single -certreq -file /usr/ca/server/server.cert-file -storepass ds1994

执行效果如图:

第二小步:用CA给服务器端证书进行签名处理

openssl x509 -req -CA /usr/ca/root/ca-cert -CAkey /usr/ca/root/ca-key -in /usr/ca/server/server.cert-file -out /usr/ca/server/server.cert-signed -days 365 -CAcreateserial -passin pass:ds1994

执行效果如图:

第三小步:将CA证书导入到服务器端keystore。

keytool -keystore /usr/ca/server/server.keystore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass ds1994

执行效果如图:

        ……

第四小步:将已签名的服务器证书导入到服务器keystore。

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-kafka-single -import -file /usr/ca/server/server.cert-signed -storepass ds1994

执行效果如图:

注:到此步骤为止,其实就可以进行【Kafka配置SSL认证】环节了。不过为了以后方便,我们也可以提前将客户端
       的证书生成出来。

客户端SSL证书签发

说明:为了后续方便,我们干脆直接在这里就生成客户端的证书,在后续用到时直接可以复制现在生成的证书。(当然
           也可以等到客户端连接时在生成)。

第一步导出客户端证书

keytool -keystore /usr/ca/client/client.keystore.jks -alias ds-kafka-single -validity 365 -genkey -keypass ds1994 -dname "CN=kafka-single,OU=aspire,O=aspire,L=beijing,S=beijing,C=cn" -ext SAN=DNS:kafka-single -storepass ds1994

执行效果如图:

第二步将证书文件导入到客户端keystore

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-kafka-single -validity 365 -genkey -keypass ds1994 -keyalg RSA -dname "CN=kafka-single,OU=aspire,O=aspire,L=beijing,S=beijing,C=cn" -storepass ds1994 -ext SAN=DNS:kafka-single

执行效果如图:

第三步用CA给客户端证书进行签名处理

openssl x509 -req -CA /usr/ca/root/ca-cert -CAkey /usr/ca/root/ca-key -in /usr/ca/client/client.cert-file -out /usr/ca/client/client.cert-signed -days 365 -CAcreateserial -passin pass:ds1994

执行效果如图:

第四步将CA证书导入到客户端keystore

keytool -keystore /usr/ca/client/client.keystore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass ds1994

执行效果如图:

        ……

第五步将已签名的证书导入到客户端keystore

keytool -keystore /usr/ca/client/client.keystore.jks -alias ds-kafka-single -import -file /usr/ca/client/client.cert-signed -storepass ds1994

执行效果如图:

 

声明:本文为学习笔记,学习自51CTO,《Kafka消息中间件》,讲师李兴华

^_^ 如有不当之处,欢迎指正

^_^ 学习视频:
             《Kafka消息中间件》,讲师李兴华

^_^ 参考链接:
              http://kafka.apache.org/documentation/

^_^ 本文已经被收录进《程序员成长笔记(四)》,笔者JustryDeng

ibm mq ssl_在IBM i上使用安全套接字层(SSL)保护Web应用程序的安全
cusi77914的博客
06-26 1701
为了防止数据在传输过程中被窥视,应用程序和Web服务器通常使用安全套接字层(SSL)(现在又称为传输层安全性(TLS)),它是SSL的更新和改进版本,用于加密通信。 在典型的SSL用法中,服务器配置有证书,该证书可证明其身份,并能够对服务器和客户端之间发送的数据进行安全加密,以确保隐私和数据完整性。 在本文中,我们描述如何使用IBM Web Administration for i提供的向...
服务器客户端证书,使用服务器和客户端证书以及私钥创建SSLContext
weixin_33343681的博客
07-29 1261
我正在编写Android应用程序。它通过TLS连接到服务器。我从服务器作者那里收到了3个文件供使用(以检查通信,以后将生成密钥):-服务器证书(cacrt.crt)-客户端证书(clientcrt.crt)-客户端私钥(clientkey.key)我正在尝试使用这些键创建SSLContext,但遇到一些问题。我无法以.crt和.key文件的格式加载它们,因此我将它们转换为BKS格式(client....
SSL双向验证--keytool实现自签名证书
a546835886的博客
05-11 1253
一、服务端 1. 生成密钥库 --- kserver.keystore 是给服务端用的,其中保存着自己的私钥 keytool -genkey -alias serverkey -keystore ./kserver.keystore -dname CN=test-server,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v 2. 导出密钥证书kserv...
使用JDK自带工具keytool生成ssl证书
热门推荐
seeker的博客
05-17 6万+
使用JDK自带工具keytool生成ssl证书 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协...
openssl生成自签ssl证书
最新发布
eagle89的专栏
08-16 2135
openssl生成自签ssl证书
生成SSL证书的方法
oqzuser12345678999q的博客
07-23 279
#!/bin/sh #================================生成CA=============================== #生成ca和私钥 openssl genrsa -aes256 -passout pass:****** -out ca.key 2048 #生成ca证书请求and自签名 openssl req -new -x509 -sha256 -days 90 -key ./ca.key -out ./ca.crt #error while loading se
【openssl自己生成key私钥、crt证书
qq_44637753的博客
04-13 6843
本文改编自openssl官网openssl食谱 Nginx添加ssl模块:https://blog.csdn.net/qq_44637753/article/details/124141722?spm=1001.2014.3001.5501 openssl生成crt、key一、密钥和证书管理二、生成私钥1.生成 RSA 密钥,使用以下 genpkey 命令:2.使用rsa命令查看密钥的结构:三、创建证书签名请求1.创建新证书签名请求(CSR):2.从现有证书创建(CSR):3.无人值守的 CSR 生成:四、
用keytool生成证书,双向SSL认证配置的方法
12-01
用keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
免费openssl 生成ssl证书[ssl证书生成]
08-03
为了在Tomcat服务器上实现SSL认证,需要配置Tomcat的server.xml文件,将server.crt证书拷贝到Tomcat的conf目录下。然后创建一个服务器信任的CA证书库,命令如下: ``` keytool -keystore truststore.jks -keypass ...
JDK生成ssl证书
11-29
4. **确认生成**:证书生成成功后,命令行不会显示任何提示信息,但是会在指定路径下生成名为`tomcat.keystore`的文件。 **注意事项**: - 在生成过程中,如果提示输入域名,切记不要输入IP地址。 - 确保`D:/keys/...
Tomcat双向SSL认证配置:keytool生成证书步骤详解
本文主要介绍了如何使用keytool工具来生成证书并进行双向SSL认证的配置,以Apache Tomcat服务器为例,包括四个主要步骤:为服务器生成证书、为客户端生成证书、让服务器信任客户端证书以及让客户端信任服务器证书。...
es安全加密认证生成证书工具
11-04
这些工具可能会简化证书生成的过程,例如Search Guard提供的`sgadmin.sh`脚本,可以直接创建和分发证书。 总之,安全加密认证在Elasticsearch中至关重要,尤其是对于那些处理敏感数据的应用。Search Guard提供了...
openssl创建CA证书教程
justlpf的专栏
09-21 4155
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
自签名证书配置服务端Https
wm6752062的专栏
03-15 2177
1、Keytool生成自签名证书 Keytool是一个Java数据证书的管理工具,安装JDK后自带。 1.1证书生成 keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -keystore server.jks -storepass 123456 -storetype PKCS12 回车后第一个参数:“您的名字与姓氏是什么[CN]?”的值为最终https使用的服务器ip或域名,其他值根据实际情况填写。 其中.
java keytool 导出证书_使用keytool 生成证书
weixin_39920397的博客
02-24 1591
keytool 工具介绍keytool 是java 用于管理密钥和证书的工具,其功能包括:1 创建并管理密钥2 创建并管理证书3 作为CA 为证书授权4 导入导出证书keytool 采用keystore来存储密钥及证书,其中可包括私钥、信任证书;keystore 文件使用 JKS格式,带密钥存储;其中私钥的存储也有独立的密码;一、生成 私钥keytool -genkey -alias server...
使用openSSL和开源httplib库搭建本地https代理服务器及https客户端
苞米地里捉小鸡的博客
05-21 5466
第一部分原理及环境搭建 参考 httplib库原理 httplib搭建简单服务器与浏览器交互 httplib GitHub 1.0certmgr证书管理工具 该项目本部分需要实现本地客户端与远端服务器进行通信(例如国外网站),那么如果直接进行Socket连接将会非常慢或者撞墙,那么这个时候考虑使用本地客户端先与本地代理服务器进行通信,然后本地客户端每次访问一次URL地址,都需要将证书添加到受信任的根证书颁发机构,不然证书以及私钥对不上服务器将不允许访问。查看证书可以通过cmd命令行certm..
keystore 介绍
marlay@126.com
02-10 463
Keytool 是一个有效的安全钥匙和证书的管理工具. Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。 Keytool 把钥匙和证书储存到一个...
KEYTOOL
chiyonghuai5224的博客
11-27 384
Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值