Linux系统搭建私有CA证书服务器

最新推荐文章于 2024-03-22 17:53:46 发布
最新推荐文章于 2024-03-22 17:53:46 发布
阅读量3.7k 收藏 39
点赞数 4
分类专栏: Linux 运维 文章标签: 大数据 数据库开发 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaml200626/article/details/125533948
版权

什么是证书?

  它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。

  理论上,人人都可以找个证书工具,自己做一个证书。

什么是CA?

  CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。

什么是CA证书?

  CA证书,就是CA颁发的证书。

  前面说了,人人都可以找工具制作证书。但是制作出来的证书是没用的,因为不具备权威性。

证书的签发过程

a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证

b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等

c.如信息审核通过,CA 会向申请者签发认证文件-证书。

证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名

签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行加密,密文即签名

d.客户端 C 向服务器 S 发出请求时,S 返回证书文件

e.客户端 C 读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;

f.客户端然后验证证书相关的域名信息、有效时间等信息

g.客户端会内置信任 CA 的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA 的证书,证书也会被判定非法。

在这个过程注意几点

1.申请证书不需要提供私钥,确保私钥永远只能服务器掌握

2.证书的合法性仍然依赖于非对称加密算法,证书主要是增加了服务器信息以及签名

3.内置 CA 对应的证书称为根证书,颁发者和使用者相同,自己为自己签名,即自签名证书

证书=公钥+申请者与颁发者信息+签名

CA证书常用于https (SSL加密)


1.生成四个证书文件

[root@ca ~]# mkdir -p /etc/pki/CA/{certs,newcerts,crl,private}

Certs  证书存放位置

Newcerts 新申请的证书位置

Crl 吊销的证书

Private 密钥存放位置

2.生成证书索引数据库文件

要进入到CA中生成

[root@ca CA]# touch index.txt

3.指定一个颁发证书的序列号

[root@ca CA]# echo "01">serial

4.为CA创建私钥

 私钥默认存放在/etc/pki/CA/private

[root@ca CA]# openssl genrsa -out private/cakey.pem 2048

2048 是代表位数 位数越多越安全 常见的有 2048、4096

5.为CA创建根证书

 CA根证书默认存放在CA下面

[root@ca CA]# openssl req -new -x509 -nodes -key private/cakey.pem -days 7300 -out cacert.pem

加时间-days 7300  20年

    req 表示证书输出的请求

   -key密钥

   -new表示新的请求

   -out输出路径

   -x509 签发x509格式证书命令

填写证书请求

国家=CN

省=shanghai

城市=shanghai

组织=cdll

组织单位=system

公用民=cdll.com

电子邮箱=

二.客户端

1.客户端创建证书申请

[root@web ~]# openssl req -new -nodes -keyout web.llzz.com.key -out web.llzz.com.csr

web.llzz.com.key 表示生成的密钥

web.llzz.com.csr 证书请求文件

2.将生成的csr请求文件发送给CA证书中心

 [root@web ~]# scp web.llzz.com.csr 10.10.30.101:/etc/pki/CA   ip后面跟文件存放的位置

存放在CA下更方便

3.为客户端颁发证书

4.当CA私钥与根证书存放在默认位置时,不需要指定

CA私钥默认存放位置:/etc/pki/CA/private/  

CA根证书默认存放位置:/etc/pki/CA

-days 3650 时间=10 年

[root@ca /]# openssl  ca -in web.llzz.com.csr -days 3650 -out web.llzz.com.crt 

5.将生成的crt 证书传到客户端

[root@ca CA]# scp web.llzz.com.crt 10.10.30.102:/root

kaml_BO
关注
  • 4
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Debian配置CA证书颁发机构)-AppSrv
新时代先锋的博客
03-28 7745
3.数字证书颁发:CA颁发数字证书,用于证明某个实体(如个人、组织或网站)的身份和信息。4.证书吊销:如果数字证书失效或不再需要使用,CA可以将其吊销,以保证数字证书的安全性。总的来说,CA的作用是确保数字证书的真实性、安全性和可信度,从而保护网络通信的安全。2.数字签名:CA用自己的私钥对数字证书进行签名,确保数字证书的有效性和完整性。1.身份验证:CA负责验证证书申请者的身份和信息,以确保证书的真实性和可信度。5.信任链维护:CA维护数字证书的信任链,确保数字证书的可信度和安全性。
linux搭建私有Git服务器的详细教程
09-14
主要介绍了linux搭建私有Git服务器的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 7535
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
简单自建SSL证书(ios无法使用)
最新发布
qq_43278717的博客
03-22 399
Common Name (eg, your name or your server’s hostname) []: 这里填写你的域名,也可以使用通配符:*.xxx.com,这样所有子域名都可以使用这个证书。subjectAltName 可以指定多个,如DNS.2 = app2.xxx.com。
Linux 创建CA证书
ko_oi的博客
06-22 4297
有两台机器一个负责颁发(157)一个负责申请(105) 整体思路 1.搭建CA 2.发送申请 3.颁发证书 选项说明: -new:生成新证书签署请求 -x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 查看证书中的信息: openssl x509 -in /PATH/FROM...
CA 证书的签发过程
深入浅出讲透复杂深奥的问题
03-15 2145
https://blog.csdn.net/qq_22771739/article/details/86479411?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161579006716780357275173%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=161579006716780357275173&amp
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 4902
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证。
Centos8搭建CA服务器
m0_56581199的博客
03-21 2358
Centos8搭建CA服务器一、CA理论知识二、搭建CA服务1.手动创建CA需要的文件和目录2.通过openssl申请证书私钥 #前言 配置CA服务器,为Linux主机颁发证书 提示:以下是本篇文章正文内容,下面案例可供参考 一、CA理论知识 CA文件后缀: .pem:导出导入证书的格式 .crt:证书文件 .key:证书私钥 .csr:证书签名请求 x509:证书格式 二、搭建CA服务 1.手动创建CA需要的文件和目录 命令如下(示例): mkdir -p /etc/pki/CA/{certs,
linux自建证书搭建https(单项加密)
qq_50247813的博客
03-31 1715
rw-r–r–. 1 root root 1751 3月 31 16:21 server.key.org。-rw-r–r–. 1 root root 1257 3月 31 15:40 server.crt。-rw-r–r–. 1 root root 1090 3月 31 15:30 server.csr。-rw-r–r–. 1 root root 1679 3月 31 16:23 server.key。-out server.crt // server.crt 这个是证书名。
Linux安装nginx,openssl ,证书生成,配置nginx 一整套完整流程
持续学习,持续更新
01-13 912
安装nginx,安装openssl,生成CA证书,配置CA证书
在一台全新的Linux系统服务器上安装部署SSL证书(使用了nginx)
weixin_65870997的博客
10-16 8280
抛开那些安全性及繁杂的概念等,我们使用SSL证书最主要的原因就是能让你的网站(https)不再被拦截如图:部署证书前:会被一般浏览器这样拦截需点击高级才能继续访问,左上角显示红三角。若是在QQ微信打开会直接报错,无法打开。部署证书后:能直接访问不被拦截,左上角显示小锁。
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
11-29
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
Linux搭建私有云存储——CentOS 7 OwnCloud 8.pdf
09-06
Linux搭建私有云存储——CentOS 7 OwnCloud 8.pdf
Linux系统 maven私有库安装包
10-28
Linux系统 安装maven私有库安装包,如需要详细安装教程请查看地址:https://mp.csdn.net/editor/html/109337889(教程带图文)
linux搭建认证服务器,linux搭建https服务器
weixin_34652580的博客
04-29 310
一、 安装准备1. 安装Openssl要使Apache支持SSL,需要首先安装Openssl支持。这里使用的是openssl-0.9.8k.tar.gz下载Openssl:http://www.openssl.org/source/tar -zxf openssl-0.9.8k.tar.gz //解压安装包cd openssl-0.9.8k //进入已经解压的安装包./config //配置安装。...
Linux (九)服务器环境搭建
喜欢历史的码农
04-29 6265
一、行为守则 1、拍摄快照 Linux系统操作非常复杂,搭建开发环境时全部使用命令完成安装过程。而在Linux系统下没有像360安全卫士那样的工具,无法让我们在安装出错后卸载干净。所以建议大家在执行安装过程的每一步时都拍摄快照,保存系统当前状态,一旦安装失败就可以恢复到之前的某个快照重新开始。 2、 系统文件操作前先备份 在服务器环境安装过程中经常需要修改配置文件。而Linux环境下配...
VMware16安装Rocky Linux9服务器系统教程(图文)(一)
ChinaboyZY的专栏
12-03 2048
Windows10下安装VMWare16虚拟机,虚拟机中安装Rocky Linux9系统
linux下创建CA以及颁发证书
weixin_33825683的博客
08-26 764
一、创建私有CA:使用工具openssl模拟创建CAOpenssl程序包分解:Openssl由三部分组成:加密库libcrypt、服务器端实现ssl功能会话的库、命令行工具Openssl工具使用详解:#rpm -ql openssl第一个功能库:libctypto:主要用来实现加密解密,一些用来实现加密解密的程序,有可能都要调用到libcrypto库,加密解密程序库会被众多应...
Linux服务器上部署Apache和https证书
热门推荐
Neaman的博客
12-12 1万+
1、下载证书: , 打开阿里云管理控制台,找到证书服务,点击下载进入证书下载页面 在下载页面选择相应的Web容器进行相应证书下载。
linux 系统搭建私有ca证书
09-14
要在Linux系统搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名根证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建了一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值