怎么利用linux自建一个ca自己申请证书

于 2024-06-13 22:02:03 发布
阅读量318 收藏 8
点赞数 5
分类专栏: 探索Linux世界:从基础到进阶 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kouchangsheng/article/details/139665093
版权

建立私有CA实现证书申请颁发

建立私有CA:

OpenCA:OpenCA开源组织使用Perl对OpenSSL进行二次开发而成的一套完善的PKI免费软件

openssl:相关包 openssl和openssl-libs

证书申请及签署步骤:

  1. 生成证书申请请求

  2. RA核验

  3. CA签署

  4. 获取证书

#安装包
[root@rocky86 ~]# yum install openssl-libs 
#查看配置文件
[root@rocky86 ~]# cat /etc/pki/tls/openssl.cnf
#安装包
[root@ubuntu ~]# apt install libssl-dev
#查看配置文件
[root@ubuntu ~]# cat /etc/ssl/openssl.cnf

配置说明:
[CA_default ]
dir = ./demoCA #所有与证书相关的文件目录,在实际使用时此处要进行修改
certs = $dir/certs #颁发的证书文件目录
crl_dir = $dir/crl #吊销的证书文件
database = $dir/index.txt #证书索引文件
new_certs_dir = $dir/newcerts #新颁发的证书目录
certificate = $dir/cacert.pem #CA机构自己的证书
serial = $dir/serial #证书编号文件,下一个证书编号,16进制
crlnumber = $dir/crlnumber #存放当前CRL编号的文件
crl = $dir/crl.pem #CA证书吊销列表文件
private_key = $dir/private/cakey.pem #CA证书的私钥
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

 匹配策略,指用此CA颁发证书时,证书的相关字段与CA的值的匹配规则

匹配规则 说明

match 要求申请写的信息跟CA设置信息必须一致

optional 可有可无,跟CA设置信息可不一致

supplied 必须填写这项申请信息

创建私有CA

1、创建CA所需要的文件

#创建相关目录
[root@ubuntu ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

[root@ubuntu ~]# tree /etc/pki/CA/

2.生成CA私钥

[root@ubuntu ~]# cd /etc/pki/CA/
[root@ubuntu CA]# openssl genrsa -out private/cakey.pem 2048

3.生成CA自签名证书

[root@ubuntu CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN #国家代码
State or Province Name (full name) [Some-State]:beijing #省/州
Locality Name (eg, city) []:beijing #城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx公司 #公司/单位
Organizational Unit Name (eg, section) []:m54 #部门
Common Name (e.g. server FQDN or YOUR name) []:www.xxxyuming #域名
Email Address []: #邮箱
-new #生成新证书签署
请求
-x509 #专用于CA生成自
签证书
-key #生成请求时用到
的私钥文件
-days n #证书的有效期限
-out /PATH/TO/SOMECERTFILE #证书的保存路径


#查看证书
[root@ubuntu CA]# cat /etc/pki/CA/cacert.pem

#查看证书
[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

#导到WINDOWS中查看
[root@ubuntu CA]# sz /etc/pki/CA/cacert.pem

申请证书并颁发证书

1、为需要使用证书的主机生成生成私钥

[root@ubuntu CA]# openssl genrsa -out /data/test.key 2048

2、为需要使用证书的主机生成证书申请文件

#注意:默认要求国家,省,公司名称三项必须和CA一致
[root@ubuntu CA]# openssl req -new -key /data/test.key -out /data/test.csr

3、用CA签署证书并将证书颁发给请求者

#创建索引文件
[root@ubuntu CA]# touch /etc/pki/CA/index.txt
#创建序号文件
[root@ubuntu CA]# echo 0F > /etc/pki/CA/serial
#签发证书
[root@ubuntu CA]# openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 100

#查看
[root@ubuntu CA]# tree /etc/pki/CA/

#原来是0F,加1后变成10
[root@ubuntu CA]# cat /etc/pki/CA/serial

#V 表示有效,230830 表示2023年8月30日过期,0F 表示证书编号
[root@ubuntu CA]# cat /etc/pki/CA/index.txt

4、查看证书中的信息:

#根据编号查看状态
[root@ubuntu CA]# openssl ca -status 0F

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/test.crt -noout -text

如果证书申请文件中的配置项与CA机构的匹配规则不一致,将无法签发证书

吊销证书

在客户端获取要吊销的证书的 serial

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/test.crt -noout -serial -
subject
serial=0F
subject=C = CN, ST = beijing, O = 上文信息, OU = 上文信息, CN = xxx域名

在CA上,根据客户提交的 serial 与 subject 信息,对比检验是否与 index.txt 文件中的信息一致,吊销证书:

[root@ubuntu CA]# openssl ca -revoke /etc/pki/CA/certs/test.crt
[root@ubuntu CA]# cat /etc/pki/CA/index.txt

指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行

 

[root@ubuntu CA]# echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

[root@ubuntu CA]# openssl ca -gencrl -out /etc/pki/CA/crl.pem

查看crl文件:

[root@ubuntu CA]# openssl crl -in /etc/pki/CA/crl.pem -noout -text

CentOS7 创建自签名证书

root@centos7 certs]# cd /etc/pki/tls/certs
[root@centos7 certs]# make


#根据目录中的 Makefile 来执行不同操作
[root@centos7 certs]# ls
ca-bundle.crt ca-bundle.trust.crt make-dummy-cert Makefile renew-dummy-cert
[root@centos7 certs]# cat Makefile


#centos8中没有该Makefile,可以SCP过去使用

Ubuntu上实现私有CA和证书申请

1 创建CA相关目录和文件

[root@ubuntu ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

[root@ubuntu ~]# tree /etc/pki/CA/

[root@ubuntu ~]# touch /etc/pki/CA/index.txt

[root@ubuntu ~]# echo 0F > /etc/pki/CA/serial

创建CA的私

[root@ubuntu ~]# cd /etc/pki/CA/
[root@ubuntu CA]# openssl genrsa -out private/cakey.pem 2048
[root@ubuntu CA]# tree


[root@ubuntu CA]# ls -l private/

[root@ubuntu CA]# cat private/cakey.pem

给CA颁发自签名证书

[root@ubuntu CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

[root@ubuntu CA]# tree /etc/pki/CA/

#查看
[root@ubuntu CA]# cat /etc/pki/CA/cacert.pem
#查看
[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
#将文件cacert.pem传到windows上,修改文件名为cacert.pem.crt,双击查看
[root@ubuntu CA]# sz /etc/pki/CA/cacert.pem

用户生成私钥和证书申请

[root@ubuntu ~]# mkdir /data/app1
#生成私钥文件
[root@ubuntu ~]# openssl genrsa -out /data/app1/app1.key 2048
[root@ubuntu ~]# cat /data/app1/app1.key
#生成证书申请文件
[root@ubuntu CA]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
[root@ubuntu ~]# ls -l /data/app1/

默认有三项内容必须和CA一致:国家,省份,组织,如果不同,会出现下面的提示

[root@ubuntu ~]# openssl ca -in /data/app2/app2.csr -out 
/etc/pki/CA/certs/app2.crt 
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
The stateOrProvinceName field is different between
CA certificate (beijing) and the request (hubei)

 CA颁发证书

[root@ubuntu CA]# openssl ca -in /data/app1/app1.csr -out 
/etc/pki/CA/certs/app1.crt -days 1000

[root@ubuntu CA]# tree /etc/pki/CA

 查看证书

[root@ubuntu CA]# cat /etc/pki/CA/certs/app1.crt

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -subject

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -dates

[root@ubuntu CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -serial 


#验证指定编号对应证书的有效性
[root@ubuntu CA]# openssl ca -status 0F

[root@ubuntu CA]# cat /etc/pki/CA/index.txt

[root@ubuntu CA]# cat /etc/pki/CA/index.txt.old
[root@ubuntu CA]# cat /etc/pki/CA/serial
10
[root@ubuntu CA]# cat /etc/pki/CA/serial.old 
0F

 将证书相关文件发送到用户端使用

[root@ubuntu CA]# cp /etc/pki/CA/certs/app1.crt /data/app1/
[root@ubuntu CA]# tree /data/app1/
/data/app1/
├── app1.crt #证书文件
├── app1.csr #证书申请文件
└── app1.key #私钥
0 directories, 3 files

证书的信任

默认生成的证书,在windows上是不被信任的,可以通过导入操作实现信任

浏览器设置-->证书管理-->导入

证书的吊销

[root@ubuntu CA]# openssl ca -revoke /etc/pki/CA/newcerts/0F.pem

[root@ubuntu CA]# openssl ca -status 0F

[root@ubuntu CA]# cat /etc/pki/CA/index.txt

 生成证书吊销列表文件

[root@ubuntu CA]# echo 01 > /etc/pki/CA/crlnumber

[root@ubuntu CA]# openssl ca -gencrl -out /etc/pki/CA/crl.pem

[root@ubuntu CA]# cat /etc/pki/CA/crlnumber

[root@ubuntu CA]# cat /etc/pki/CA/crl.pem

[root@ubuntu CA]# openssl crl -in /etc/pki/CA/crl.pem -noout -text
白了个白i
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ca证书 linux 导入_CA搭建与证书申请
weixin_39973196的博客
12-19 1212
一:创建私有CAopenssl的配置文件:/etc/pki/tls/openssl.cnf根据此配置文件创建CAdir:CA相关文件存放路径 /etc/pki/CAcerts:证书存放目录 /etc/pki/CA/certsdatabase:数据库文件 /etc/pki/CA/index.txtnew_c...
Linux实现搭建私有CA服务器证书申请颁发吊销
SunMy的博客
04-27 1458
CA证书 CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
Linux Centos[自签CA证书颁发及其Web]
m0_75023484的博客
06-10 487
注意事项:证书安装过程中,证书颁发时间需要小于系统时间否则证书无效,并无法向客户端提供加密服务。证书时间为6-10,则客户机系统时间为大于6-10。将证书文件通过复制挂在到网站的根目录下[data/web_data/]切换目录到 /etc/httpd/ssl 查看是否成功创建三个文件。创建目录:sudo mkdir /etc/httpd/ssl。在目录/etc/httpd/ssl/下 生成自签名证书。在目录/etc/httpd/ssl/下 创建私钥。修改默认路径为/data/web_data。
linux系统生成证书指令
04-04
linux生成pfx指令
Linux系统生成CA证书
热门推荐
诗水人间
11-15 13万+
生成CA证书 在配置HTTPS监听时,您可以使用自签名的CA证书,并且使用该CA证书为客户端证书签名。 使用Open SSL生成CA证书 执行如下命令,在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。 sudo mkdir ca cd ca sudo mkdir newcerts private conf server newcerts目录将用于存放C...
linux 生成 ca 证书
最新发布
galoiszhou的博客
02-06 1016
这一步需要填写证书信息,如。
Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 9217
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器生成 3.客户端方生成
Linux 生成证书
dream_xz的博客
07-26 1534
Linux系统下生成证书 生成秘钥key,运行: $openssl genrsa -des3 -out server.key 2048 1 会有两次要求输入密码,输入同一个即可 输入密码 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: $openssl rsa -in server.key -out server.key 创建服务器证书申请文件server.c...
基于Windows 2000 CALinux ready PK卡的证书申请.pdf
09-07
《基于Windows 2000 CALinux Ready PK卡的证书申请》这篇文章主要探讨了在企业环境中,如何利用Windows 2000 Server的证书服务为Windows Ready PK卡和Linux Ready PK卡申请证书的问题。文章指出,Windows 2000 ...
Linux下使用openssl制作CA证书颁发[参考].pdf
10-11
Linux 下使用 OpenSSL 制作 CA证书颁发是指使用 OpenSSL 工具在 Linux 平台上创建一个证书颁发机构(CA),并颁发数字证书CA一个trusted第三方机构,它负责颁发和管理数字证书,以确保网络通信的安全。 ...
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
文档包含一篇《openssl生成CA证书过程》及 openssl.cnf、*.key、*.pem、*.csr、*.crt文件共13个文件,按照文档的指导操作可以生成类似的文件。
linux下自动生成大量证书Shell(无其他工具版)
10-27
在C/S模型中,Server需要认证Client的证书,而每一个Client持有独一无二的证书(比如一个设备的MAC地址),此时需要的证书一个CA一个Server证书和大量的Client的证书,如果一个一个生成,效率速度都非常的慢,下面的工具和shell scripts就是为了批量生成client证书。有包含OpenSSL linux相似的环境都行(Cygwin也行的哦!), 如果这个shell不满足你的需求可以试着改下code. 对了,忘了告诉大家了,你当前的目录里面一定要有个cert.cnf配置文件,自己手动生成CA证书CA key.
Linux下用Openssl生成证书
03-12
用openssl签发ssl x.509证书 建立根证书: 制做服务器端的证书并用ca签名: 生成crt格式 生成cer格式
Linux 创建CA证书
ko_oi的博客
06-22 4359
有两台机器一个负责颁发(157)一个负责申请(105) 整体思路 1.搭建CA 2.发送申请 3.颁发证书 选项说明: -new:生成证书签署请求 -x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 查看证书中的信息: openssl x509 -in /PATH/FROM...
Linux使用OpenSSL生成CA证书
qq_43813351的博客
04-19 3361
Linux快速生成CA证书(只要五行命令)
linux生成https证书
ThinPikachu的博客
07-25 4201
linux生成https证书
Linux OpenSSL 生成CA证书及终端用户证书
专注基础架构领域
08-21 2858
一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re
linux openssl自制证书
zjxbllg2008的专栏
06-08 589
下面是手动颁发证书的操作:[root@linux-node1 ~]# cd /usr/local/nginx/conf/[root@linux-node1 conf]# mkdir ssl[root@linux-node1 conf]# cd ssl/[root@linux-node1 ssl]# openssl genrsa -des3 -out aoshiwei.com.key 1024Gen...
Linux OpenSSL基础配置:自签名证书CA证书教程
本篇笔记详细介绍了在Linux环境下使用OpenSSL进行基本配置和操作的过程,特别针对Linux初学者设计,涵盖了证书环境的搭建、自签证书生成CA证书的颁发以及HTTPS证书申请。以下内容将逐步展开: 1. **安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白了个白i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值