在Linux上创建SSL证书颁发机构并在Windows AD中使用它

最新推荐文章于 2023-03-21 10:37:43 发布
最新推荐文章于 2023-03-21 10:37:43 发布
阅读量2.3k 收藏 10
点赞数 2
文章标签: SSL 数字证书 Linux openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lk2684753/article/details/88639554
版权

在工作中发现一个有用的东西,在很多公司网站广泛使用SSL,但对于我们生产系统,这意味着从广泛认可的证书颁发机构(如Verisign或Thawte)购买SSL证书,但对于我们开发系统,当有10个15个需要SSL的不同预生产环境时,它会变得非常昂贵。所以,这是一个不花钱的潜在解决方案。在Linux上构建您自己的CA,使用Microsoft的Active Directory将证书作为可信CA发布。

我将在这个例子中使用Ubuntu Linux 18.04。我建议在没有监听服务的专用服务器上运行CA,除了openssh。我也强烈建议使用SSH密钥连接到服务器。这是您的SSL私钥将驻留的位置,我希望您可以进行保护。

在Linux上设置证书颁发机构

随着新服务器的启动和准备,让我们进入它并开始使用。首先,如果您还没有安装openssl,则需要安装。

	# Install openssl
sudo apt-get install openssl

安装将在/ etc中创建一个ssl目录。让我们移动并创建SSL私钥

cd /etc/ssl/
sudo openssl genrsa -des3 -out ca.key 4096

Generating RSA private key, 4096 bit long modulus
...............................................++
....................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

为了解释我们刚刚做了什么,这里简要概述了该命令中的每个选项。前两个命令是“sudo openssl”。Sudo以root权限运行openssl。命令的其余部分是openssl的选项。他们是“genrsa -des3 -out ca.key 4096”。我们告诉openssl使用三重DES(-des3)生成一个4096位的rsa密钥(genrsa),并将密钥放在ca.key(-out ca.key)中。然后我们被提示输入密钥用于密钥。使这是一个很好的长密码,并保持非常安全。

好的,我们的密钥就绪,现在让我们创建公共CA证书。系统会多次提示您提供一些信息以添加到证书中,因此请准备好为您的环境回答这些信息。

sudo openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:liangk
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Palletone
Organizational Unit Name (eg, section) []:Technology
Common Name (eg, YOUR name) []:ca.test.com
Email Address []:lk2684753@163.com

这个时候我们为openssl使用了更多的参数。这次的参数是“req -new -x509 -days 3650 -key ca.key -out ca.crt”。基本上,我们要求新的x509证书,我们希望365天(1年)有效。我们想使用ca.key作为证书的私钥,我们将其保存在ca.crt中。一年的到期可能对您的环境来说太短暂。就个人而言,我会为预生产系统挑选更长的东西。产品系统,您可能决定做其他事情。

您现在已准备好在您的环境中使用证书颁发机构。
将本地生成的ca.crt文件导出到windows系统桌面

将CA证书导入Windows Active Directory

在windows搜索框输入 安全设置
在这里插入图片描述

在内容中找到受信任的根证书颁发机构
在这里插入图片描述

点击导入,下一步,找到桌面上的ca.crt文件,下一步,点导入最后提示导入成功
点开刚刚找到的受信任的根证书颁发机构,可以找到刚刚我们导入的CA证书,点击详细信息可以看到我们刚刚在Linux系统下输入的创建信息
在这里插入图片描述

盐水煮毛豆
关注
Windows Server 做CA给Centos 颁发证书
vx XIxi_AL
11-26 2096
需要一个全新的环境 Centos 7配置 yum install httpd.x86_64 -y #安装httpd服务 mdkir -p /etc/httpd/ssl #创建用来客户端的私钥文件和请求文件 cd /etc/httpd/ssl #切换到ssl文件夹 Windows不加域,直接安装ad证书,全都默认安装就可以了 没有加域,所以是独立根 Windows导出证书 cmd打开mmc控制平台 ctrl+m 打开添加管理单元,把证...
使用Openssl签发SSL证书
qq_42533647的博客
12-17 2174
本文主要记述在Linux系统上使用Openssl创建SSL证书的流程,作为个人学习笔记。自签名证书分为自签名私有证书和自签名CA证书两种。自签名私有证书无法被吊销,自签名CA证书可以被吊销。 什么是openssl OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用openssl只是OpenSSL开源套件的多功能命令工具; OpenSSL套件的组成部分有: 1.libcrypto:通用功
linux添加ssl信任根证书,linux系统添加根证书 linux证书信任列表
weixin_32529429的博客
05-03 2730
1.linux 访问 https 证书问题[[emailprotected]~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connectedtomo...
ADSSL证书
weihy的专栏
02-25 1758
系统以前做的一个修改AD上用户的密码的程序出了问题,查了一下发现异常是证书过期,这个证书是从AD服务器上的一个证书服务下载来的。 于是联系管理员重新到AD上申请了一个新的证书,像以前一样通过JDK的keytool导入到keystore文件。再执行单元测试代码,却出了另一个异常: [code="java"]javax.net.ssl.SSLHandshakeException: sun.se...
Linux自建ssl证书,linux自建https证书
weixin_39930711的博客
05-15 529
一、生成单向认证的https证书建立服务器私钥,生成RSA秘钥。会有两次要求输入密码,然后获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: 创建服务器证书的申请文件server.csr Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全,其...
linux系统创建本地ssl证书
xiaoxiao_yingzi的博客
09-24 2116
介绍 TLS(或传输层安全性)及其前身SSL(代表安全套接字层)是用于将正常流量包装在受保护的加密包装器的Web协议。 使用此技术,服务器可以在服务器和客户端之间安全地发送流量,而不必担心消息会被外部方拦截和读取。证书系统还可以帮助用户验证与其连接的站点的身份。 在本指南,我们将向您展示如何在Ubuntu 14.04服务器上设置用于Nginx Web服务器的自签名SSL证书。自签名证书不会验证服务器的身份为您的用户,因为它不是由他们的Web浏览器的受信任的证书颁发机构之一签名,但它会允许你...
linux创建的公钥私钥,如何在windows使用
weixin_34191734的博客
11-28 935
如果对使用公钥登陆Linux服务器还不熟悉,那就先看我这篇文档:http://swenzhao.blog.51cto.com/3451741/1583447 看完后,你会发现,该文档只讲了在windows使用SecureCRT登陆Linux服务器。公钥私钥是使用SecureCRT创建的。那么,如果我已经在LInux创建了公钥私钥,能不能把该公钥放到...
Linux 安装AD证书
最新发布
07-30
Linux系统上安装Active Directory (AD) 证书通常涉及以下几个步骤,这里假设你已经有一个有效的CA签发证书文件: 1. **准备证书文件**:首先,你需要将CA颁发的服务器证书(`.crt` 或 `.pem` 格式)、私钥(`....
数字证书调用CSP过程
渡安H的博客
05-22 1430
CSP是Windows安全应用的基础,在Windows操作系统上实现https安全浏览(即SSL安全数据通信)和实现安全隧道(如Ipsec)功能,都必需有CSP参与密码运算。 加密服务提供程序 (CSP) 是执行身份验证、编码和加密服务的程序,基于 Windows 的应用程序通过 Microsoft 加密应用程序编程接口 (CryptoAPI) 访问该程序。每个 CSP 提供不同的 Cryp...
SSL (一)
qq_28630099的博客
11-26 1722
安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,所有主要的浏览器都支持SSL协议目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。SSL协议的三个特性① 保密:在握手协议定义了会话密钥后,所有的消息都被加密。② 鉴别:可选的客户端认证,和强制的服务器端认证。
使用自签名证书SSL (linux_db19 win_客户端)
weixin_39568073的博客
03-21 394
禁用对等方证书的身份验证。现在我们只想加密通信。在端口 2484 上添加 TCPS 协议的条目。导出证书,以便稍后将其加载到服务器。自动登录钱包 不应该加local。创建自签名证书并将其加载到钱包创建自签名证书并将其加载到钱包。将客户端证书加载到服务器钱包。将服务器证书加载到客户端钱包。),而不是仅允许数据库用户。,因此必须明确提供一组密码。创建一个新的自动登录钱包。相互写入host文件。检查客户端钱包的内容。
linux虚拟主机ssl证书,linux系统SSL证书部署https单/多站点
weixin_42140716的博客
05-12 547
以下教程为linux系统申请SSL证书,部署单/多站点https方法。如果对技术不熟悉,建议提交工单,由我司工程师帮您配置(会有费用产生)。另需先申请下载SSL证书,一、linux系统单/多站点https部署方法(安装我司默认wdcp环境,分v3.2和v2.5教程)说明:nginxweb引擎可部署一个或多个站点,并且支持apache+nginx混合模式,不影响之前apache引擎的任何设置(如伪...
Windowslinux证书,https证书导入(windowslinux环境)
weixin_29526539的博客
05-04 1860
每次切换环境或调用其他平台接口需要导入https证书时,都要把之前的命令重新温习一遍,尝试操作,踩过几次坑,其他同事需要导入时,也需要百度,还可能出错。此处就总结一下,防止再踩坑了。未安装请求对应接口证书时的异常:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path bui...
win2003 AD域 支持 LDAP SSL
bytxl的专栏
01-08 7676
参考http://www.linuxmail.info/enable-ldap-ssl-active-directory/ Enabling SSL in Active Directory allows clients to communicate securely with AD servers. This is also required to allow a user’s Active
配置Windowslinuxssl免密传输数据包
杨义权的博客
11-19 296
配置Windowslinuxssl免密传输数据包 第一步 在Windows上生成SSL“公钥-私钥“文件对 ssh-keygen #连续enter 在路径会生成C:\Users\admin(用户)\.ssh公私钥文件 ——id_rsa 私钥 ——id_rsa.pub 公钥 ——known_hosts 可不用管 修改id_rsa.pub文件,删除最后的字符串"username@xxx-pc" 第二步 将公钥拷贝到服务器端 手动拷贝id_rsa.pub到/root/.ssh。也可
win2008R2 像CA证书服务器(Linux)申请CA证书
肚饿不喜欢的博客
03-26 1013
实验要求: Win2008R2:公网IP:172.16.0.135 网卡1:192.168.10.22 网卡2:192.168.11.22 配置企业CA证书服务 提供web注册方式。可接受CAR(证书请求文件)并签发证书; 加密服务提供程序为“RSA#Microsoft Software Key Storage Providew”,密钥字符长度为“2048”; 颁发的签名证书的哈希算法为“SHA256”; CA证书名称:ca.rj.com; 为云主机B的web服务提供证书颁发证书命名为..
Windows Server 2008 R2 下配置AD证书服务器和HTTPS访问的图文教程 DNS+IIS+AD证书服务
qq_57880554的博客
06-06 4034
Windows Server 2008 R2 下配置AD证书服务器和HTTPS访问的图文教程 基于DNS+IIS+AD证书服务 完成HTTPS访问
配置AD、CA、SSL,绑定keystore
风林火山
08-17 7360
在这就简单的介绍一下配置过程,未提到的设置基本就都采用默认即可。 1)安装AD: 开始 -> 运行 -> dcpromote 域名: testad.com.cn NT域名: ldap 即 Fully Qualified Domain Name (FQDN) 为 ldap.testad.com.cn 注意,一定要先安装 IIS , 再安装 CA. 2)安装 IIS: 开始-> 程序 -> 管理工具
linux系统添加根证书 linux证书信任列表
热门推荐
lemonzone2010的专栏
06-16 3万+
linux访问https证书问题 linux系统添加根证书 linux证书信任列表
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值