构建CA证书详解过程步骤

最新推荐文章于 2024-05-16 03:45:56 发布
最新推荐文章于 2024-05-16 03:45:56 发布
阅读量3.6k 收藏 17
点赞数 1
分类专栏: web服务器 笔记 文章标签: ca证书 openssl centos linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljc1999/article/details/112959908
版权
本文详细介绍了如何构建CA证书,包括CA中心申请证书的步骤、CA的介绍,以及在CentOS/Linux环境下构建私有CA的全过程,涵盖环境配置、密钥创建、证书签名和客户端证书申请。通过这些步骤,读者可以掌握自签证书和客户端证书申请的实践操作。
摘要由CSDN通过智能技术生成

目录

一、CA中心申请证书的过程

1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)
2、web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器
3、CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。

二、CA介绍

  CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。

三、构建私有CA

1.环境:

10.8.161.142 CA服务端
10.8.161.154 web服务端

2.检查安装openSSL

[root@xiong ~]# rpm -qa openssl
openssl-1.0.2k-21.el7_9.x86_64
没有则需下载
[root@xiong ~]#yum install openssl openssl-devel -y

3.查看配置文件

[root@xiong ~]# vim /etc/pki/tls/openssl.cnf
[ ca ]
default_ca = CA_default       # 默认的CA配置;CA_default指向下面配置块

[ CA_default ]
dir             = /etc/pki/CA           # CA的默认工作目录
certs           = $dir/certs            # 认证证书的目录
crl_dir         = $dir/crl              # 证书吊销列表的路径
database        = $dir/index.txt        # 数据库的索引文件
new_certs_dir   = $dir/newcerts         # 新颁发证书的默认路径
certificate     = $dir/cacert.pem       # 此服务认证证书,如果此服务器为根CA那么这里为自颁发证书
serial          = $dir/serial           # 下一个证书的证书编号
crlnumber       = $dir/crlnumber        # 下一个吊销的证书编号                                      
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem  # CA的私钥
RANDFILE        = $dir/private/.rand    # 随机数文件
x509_extensions = usr_cert              # The extentions to add to the cert
name_opt        = ca_default            #命名方式,以ca_default定义为准
cert_opt        = ca_default            #证书参数,以ca_default定义为准
default_days    = 365                   # 证书默认有效期
default_crl_days= 30                    # CRl的有效期
default_md      = sha256                # 加密算法
preserve        = no                    # keep passed DN ordering
policy          = policy_match          #policy_match策略生效

[ policy_match ]
countryName = match    #国家;match表示申请者的申请信息必须与此一致
stateOrProvinceName     = match         #州、省
organizationName        = match         #组织名、公司名
organizationalUnitName  = optional      #部门名称;optional表示申请者可以的信息与此可以不一致
commonName              = supplied
emailAddress            = optional

[ policy_anything ]  #由于定义了policy_match策略生效,所以此策略暂未生效
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

4.根证书服务器目录

根CA服务器:因为只有 CA 服务器的角色,所以用到的目录只有/etc/pki/CA。
网站服务器:只是证书申请者的角色,所以用到的目录只有/etc/pki/tls。

5.创建所需文件

[root@xiong ~]
最低0.47元/天 解锁文章
秃头呆熊
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
数字证书申请与使用
CTF
04-29 695
这些可信任的能够为所有的操作系统、主要网站浏览器、服务器、e-mail 客户端以及互联网应用程序等识别,而且还包括了一些别的装置,例如智能电话(Smartphone),可参考微软可移动项目合作伙伴(Microsoft Mobile Program Partners),Palm 以及主要的 PDA 和移动电话。该证书包含用户的个人信息、用户的公钥信息和认证中心的签名信息,然后用户可以获得自己的数字证书申请个人数字证书时,首先需要进入个人证书申请,点击相关证书链接,然后据相关提示申请安装个人数字证书
pfx证书生成 工具
09-28
开发技术使用RSA非对称加密,一键生成pfx证书工具,内附 文档说明。
2024年网络安全最新现代密码学-CA与数字证书详解_caca证书(2),2024年最新网络安全基础开发入门(1)
最新发布
2401_84968582的博客
05-16 836
证书类似现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片)绑定在一起。个人身份证是由国家权威机关(公安部)签发的,该证件的有效性和合法性是由权威机关的签名或签章保障的,因此身份证可以用来验证持有者的合法身份的信息,称为身份鉴定。数字证书也称为公钥证书,是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心(简称CA)对该证书的签名。
SSL证书到期后续费问题
09-16 1307
SSL数字证书是有期限的,最长可以购买两年,到期之后如果还想续费的话就必须重新申请SSL证书,这时候就会有很多问题,比如,ssl证书续费需要手续费吗、ssl证书续费之后怎么安装、必须在SSL证书过期之后才能续费吗等等问题。接下来小编一一回答。 ssl证书续费时需要手续费吗? 当然是不需要的,ssl证书在续费时和正常申请ssl证书一样,只要正常申请你需要的那个证书就可以了,不必交手续费,所有让交手续费的服务商都是骗人的,正规ssl证书服务商给证书续费时不需要缴费的。 ssl证书续费之后该怎
CA证书的签发流程详情
热门推荐
m0_61979385的博客
12-17 1万+
一,什么是CA证书: CA证书是电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA证书一般用于HTTPS服务中的SSL或TSL协议中,是一种确保服务器或客户端的合法性的一种证书 二,CA证书的签发流程: CA证书的签发流程一般可以分为六步,分别是 1.申请认证 , 2.审核信息, 3.签发证书 ...
自建CA生成证书详解
永远是少年
12-13 6576
今天继续给大家介绍Linux运维相关知识,本文主要内容是自建CA,并对客户CSR进行签名生成证书过程。 一、CA认证中心配置 二、web服务器生成证书请求文件 三、CA认证中心生成证书 四、WEB服务器配置实现https 五、结果验证
构建私有CA
Ghoy的博客
09-10 1628
前言什么是CACA是Certificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书CA证书也是数
数字证书详解
07-14
这一过程通常涉及以下步骤: 1. **验证证书的基本信息**:检查证书的有效期、发行者等基本信息是否符合要求。 2. **验证证书的签名**:使用CA的公钥验证证书的数字签名。 3. **验证扩展信息**:证书的扩展字段...
GMSSL自建CA证书
03-28
- **生成证书问题**: 如果在生成证书过程中遇到问题, 可参考官方文档或社区论坛寻求帮助。 - **将key和证书合到一个文件中**: 将私钥和证书合并到同一个文件中, 方便后续使用。 - 示例命令: ```sh cat rootkey....
OpenSSL证书制作过程
12-01
### OpenSSL证书制作过程详解 #### 一、数字证书使用的场合 数字证书主要应用于以下几个场景: - **加密传输**:在互联网通信中确保数据传输的安全性,防止数据被窃听或篡改。 - **身份验证**:确认通信双方的...
pfx证书制作工具.zip
12-24
RSA证书制作工具,导出自定义加解密证书信息
个人数字证书CA认证
11-21
### 个人数字证书CA认证知识点详解 #### 一、数字证书的概念与作用 - **定义**:数字证书是一种用于在网络环境中验证用户身份的技术手段,它由一系列数据组成,包括用户的个人信息及其对应的数字签名。 - **功能...
EJBCA的详细构建过程
06-10
**EJBCA详解构建过程** EJBCA是一个开放源码的认证中心(CA)系统,用于构建公钥基础设施(PKI)的核心组件。它提供了完整的证书生命周期管理,包括证书的颁发、撤销和存储。这篇内容主要针对EJBCA构建过程进行...
SSL双向认证以及证书的制作和使用
weixin_30500473的博客
10-26 2736
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的证书,比如我的windows中就包含VeriSign的证书,那么浏览器访问服务...
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 4936
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
CA证书制作实战
凉茶铺的博客
07-24 2739
需求自建CA颁发证书使用自签名证书构建安全网络,所谓自签名证书,就是自己扮演CA机构,自己给自己的服务器颁发证书
openssl创建CA并签发证书
健忘16的博客
02-16 3638
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
网站与用户加密通信流程 ca证书公匙加密工作流程 签名原理 Flame 病毒原理
tenc1239的博客
10-15 1050
是的,一旦数字证书验证成功,用户的浏览器会生成一个随机的对称密钥,并将其使用 Bob 的公钥进行加密,然后将加密后的对称密钥发送给 Bob 的服务器。这个过程中,数字证书的主要作用是确保 Bob 的网站确实是合法的网站,且用户与该网站之间的通信是加密的。Alice 的浏览器可以使用证书中的公钥来加密与网站之间的通信,以确保数据的机密性和完整性。是的,您理解得非常正确。一旦 Bob 的服务器和用户的浏览器都拥有了相同的对称密钥,它们可以使用该对称密钥来进行实际的数据加密和解密,以确保通信的机密性和完整性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值