自建CA给内部网站颁发SSL证书

已于 2024-05-27 19:50:45 修改
阅读量3.5k 收藏 21
点赞数 2
分类专栏: Windows Server SSL 信息安全相关 文章标签: windows 运维 ssl
于 2022-06-18 20:56:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/125350089
版权

Windows Server - 建设篇

第二章 自建CA给内部网站颁发SSL证书

系列文章回顾

第一章 Windows Server 2016搭建企业CA证书服务



下章内容

第三章 Radius+深信服行为管理+无线控制器 部署无线802.1X认证

自建CA给内部网站颁发SSL证书

前言

        内网局域网的Web网站访问的传输协议默认为TCP的HTTP协议,为提高传输的安全性,将传输协议改为带SSL的HTTPS协议。
        又使用HTTPS协议过程中会由于Web网站的SSL证书不被公网权威认证的CA机构证明,所以会出现连接不安全的浏览器警告信息。
        现为避免出现不安全的连接警告信息,需在局域网内自建企业CA机构,并自签服务器证书颁发给内网Web网站,下发自建CA根证书给所有域用户,使域用户访问Web网站不再出现不安全的连接警告信息。

  • 操作系统平台:Windows Server 2016
  • ESXi底层:VMware VMvisor 6.7.0

实施步骤

1. ESXi主机新建一台Windows Server 2016虚拟机。
2. Windows Server 2016 加入域控。
3. Windows Server 2016部署Active Directory证书服务,配置企业根CA证书服务。
4. Linux虚拟机,已搭建Web站点并使用Nginx或Apache中间件

Openssl申请证书签发请求(带SAN扩展属性)

以Linux虚拟机的Web网站为例:website.xxx.com
在Linux虚拟机的后台新建证书签发请求

openssl req -new -sha256 -key website.key \
-subj "/C=CN/ST=.../L=.../O=... Technology Co., Ltd./OU=... Department/CN=*.xxx.com" \
-reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:*.xxx.com")) -out website.csr

# 如果SAN的可选域名有多个,以 , 为分隔符。 如 DNS:*.xxx.com,DNS:a.xxx.com
完整参数名称缩写参数名称SSL证书取值参数值说明
Country NameC国家代码,比如中国就是CN
State or Province NameST省名称,比如广东是填gd或GuangDong
Locality NameL城市名称,比如广州是填gz或GuangZhou
Organization NameO… Technology Co., Ltd.机构名称,一般参考企查查看到的公司工商信息的英文名
Organizational Unit NameOU… Department机构单位名称,填写SSL证书所属的公司部门
Common NameCN*.xxx.com一般填写网站的域名,可以用泛域名的形式
Subject Alternative NameSANDNS:*.xxx.comSSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析


Active Directory CA颁发SSL证书

复制website.csr证书签发请求文件到CA证书服务器本地
访问http://localhost/certsrv ,申请证书,提交高级证书申请
1
2


使用base64编码的文件进行证书申请
3
4


使用notepad打开website.csr文件,复制文本内容到证书申请框,并选择证书模板为Web服务器
5
6


提交申请后下载Base64编码的服务器证书(crt/cer后缀,可以直接更改后缀为pem)。将服务器证书导入到Web服务器即可
7
8

9



IIS服务器导入SSL证书

### Openssl实现CER转PFX
openssl pkcs12 -export -out website.pfx -inkey website.key -in website.cer

打开IIS管理器的【服务器证书】并导入pfx文件。密码:空,证书存储:Web宿主



综上完成自建CA给内部网站颁发SSL证书的步骤。




参考来源

  1. Windows Server 2016操作系统搭建自签名CA证书服务器(Microsoft Active Directory 证书服务 )
  2. 局域网内搭建浏览器可信任的SSL证书
  3. 一篇文章看明白什么是DV、OV、EV证书
  4. OPENSSL创建带SAN扩展的证书并进行CA自签
  5. Windows Server 做CA给Centos 颁发证书
歪果仨
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
内网证书
03-22
NULL 博文链接:https://san-yun.iteye.com/blog/900950
搭建开源CA认证-申请颁发证书
抽象空间的博客
06-30 4538
OpenSSL 生成随机数: 格式:openssl rand -base64|-hex NUM NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2 示例1:[root@CentOS7 data]#openssl rand -hex 12 生成的是16进制数,2位16进制数是1个字节,12个字节就是12*2=24位16进制数 示例2: base64:...
Https网站如何申请免费的SSL证书及操作使用指南
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-05 7494
ohttps.com提供了类似于acme.sh的功能,不过提供了友好的管理界面,可申请Let's Encrypt免费通配符类型证书,还提供了证书吊销、到期前提醒、自动更新、自动部署功能。另外比acme.sh增加了一些非常实用的功能,主要包括可自动部署至阿里云、腾讯云、七牛云的负载均衡、内容分发CDN、SSL证书列表等,并可自动部署至多个nginx容器中。
使用openssl给web站点颁发证书
weixin_34007291的博客
08-21 134
背景介绍在生产环境中,有时会需要用到自签名的证书,而谷歌浏览器从2016年开始就降低了sha1的算法级别,openssl默认使用的是sha1的算法,以下就来介绍openssl如何使用sha256的加密算法对web站点进行加密。拓扑图如下:操作步骤1.安装httpd服务yum -y install httpdchkconfig httpd onservice httpd...
内网环境解决SSL证书问题
肥宝的实验室
03-08 1846
内网没有域名,所以我创建证书的时候一路回车啥都没填的。这里有个坑,我用搜狗浏览器,是直接拦截点不开的。创建证书已经看过相关文章,然后用unity跑的时候发现连不上,完全没反应的那种。这个操作之后,整台电脑都能访问了,应该是改了底层某些内容,被记录下来了。unity连外网测试服已经解决的了,能跑的了,所以客户端是没问题的。于是找了个在线测试页面,自己百度一下,昨天搜的网址,今天居然失效了。本来这个没什么好写的,但是坑实在有点多,不得不写个文章记录下来。再用上面的测试网站,是可以测到的了,连搜狗都可以了。
内网https需要ssl证书_ssl证书+https
weixin_31234809的博客
12-23 845
参考廖雪峰的文章给Nginx配置一个自签名的SSL证书​www.liaoxuefeng.com在nginx配置文件中,将需要用https的url直接代理的应用服务器端口简单配置一下server { listen 80 default_server; listen [::]:80 default_server; listen 443 ssl default_server; listen [...
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 6148
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
OpenSSL生成的ssl证书
01-11
注意,虽然自签发证书对于测试和内部使用是足够的,但对于生产环境,建议使用权威证书颁发机构(CA)签发的证书,以提供更高的信任度和浏览器兼容性。在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践。
linux系统openssl 实现ssl自签证书
12-02
当涉及到局域网内的服务器或客户端通信时,自签证书是一种常见的解决方案,特别是对于测试环境或内部网络,因为它们不必通过权威的证书颁发机构(CA)进行验证。Linux系统,如Ubuntu、CentOS、openEuler等,提供了...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名的证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
ssl证书生成图形化工具.zip
02-07
SSL证书通常包含网站所有者的身份信息、公钥和CA证书颁发机构)的签名。 XCA是一款开源的证书管理系统,全称为“XML Certificate Authority”。它提供了图形化的界面,使得SSL证书的生成、管理和分发变得更加简单...
centos7搭建CA服务器颁发ssl证书
5L2g556F5ZWl77yf
12-16 6840
使用ssl来保证web通信安全 apache服务器与客户机采用明文通信 对HTTP传输加密的协议为HTTPS,是通过ssl进行http传输的协议,它通过公用密钥CA证书进行加密,保证传输的安全性。 x509证书一般会用到三类文,key,csr,crt Key是私用密钥openssl格,通常是rsa算法 Csr是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定...
内网ssl证书颁发_证书颁发机构–它们的作用是什么? – SSL证书
culin0274的博客
08-09 471
内网ssl证书颁发 什么是SSL证书? (What is an SSL certificate?) Secure Socket Layer, shortened for SSL, is a way in which to secure connections for your visitors on your websites by using a public-private encry...
自建CA认证
qq_23060921的博客
04-10 209
使用时,将下面脚本保存为ca.sh 用chmod +x ca.sh,赋予文件可执行权限, 将ca.sh中的ip地址改为自己的ip地址 ./ca.sh 运行 在弹出界面中输入4位以上密码. 然后一路回车,再根据提示输入上述密码. 最后,在当前文件路径下会生成server 和 client 两个文件夹, server目录下存放的是:ca证书和服务器相关密钥证书. client目录下存放的是:clien...
ssl证书(https/wss)内网测试
yunteng521的博客
01-04 1336
ssl证书(https/wss)内网测试 pkcs1 pkcs8 pkcs12
自签发SSL证书签发(附脚本)
jerry的博客
03-03 2993
自签发 SLL (https) 证书
内网https需要ssl证书_如何给网站配置SSL证书(https)
weixin_35316459的博客
12-22 3224
由于我们在编辑文章时插入的图片都是都标上了http链接,所以打开网页时小绿锁依然没有显示。提供两个代码可用于修改wordpress的http链接:HTTPS绝对链接替换:替换wordpress网站中的http链接为https,代码放于主题function.php文件中。(注意替换的是标签仅是网站内部链接,外部无效)add_filter('get_header','fanly_ssl');func...
Windows Server 2019 域环境为用户和计算机颁发证书
m0_57856520的博客
07-16 926
Windows Server 2019 域环境为用户和计算机颁发证书
内网ip ssl证书nginx部署
10-12
要在内网上部署使用 SSL 证书的 Nginx,你需要执行以下步骤: 1. 获取 SSL 证书:从可信任的证书颁发机构(CA)获取 SSL 证书。你需要提供你的域名和其他必要的信息,并根据 CA 的要求完成验证流程。一旦通过验证,你将收到一个包含 SSL 证书和其他相关文件的压缩包。 2. 配置 Nginx:在 Nginx 的配置文件中,添加 SSL 相关的配置项。找到你要部署 SSL 的虚拟主机配置块,并进行如下配置: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl_certificate.crt; ssl_certificate_key /path/to/ssl_private_key.key; # 可选:添加其他 SSL 相关配置项 } ``` 在 `ssl_certificate` 和 `ssl_certificate_key` 配置项中,分别指定你下载的 SSL 证书和私钥的路径。 3. 配置防火墙:如果你的服务器有启用防火墙,确保允许来自外部网络对 443 端口的访问。 4. 测试配置并重启 Nginx:使用 Nginx 的配置测试命令来验证配置文件的语法是否正确。如果一切正常,重启 Nginx 服务器以使配置生效。 ```shell sudo nginx -t # 测试配置文件语法 sudo systemctl restart nginx # 重启 Nginx ``` 现在你的 Nginx 已经配置好了 SSL 证书,并可以通过 HTTPS 访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值