开源CA搭建-基于openssl实现数字证书的生成与分发

已于 2023-05-30 11:14:44 修改
阅读量3.1k 收藏 22
点赞数 5
分类专栏: 数字证书 Linux 文章标签: 服务器 运维 安全
于 2022-12-21 10:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/128238834
版权

目录

一、前言

二、openssl介绍

三、openssl的常用用法

(一)单向加密

(二)生成随机数

(三)生成公钥,私钥

1.生成私钥

2.提取公钥

四、搭建CA

(一)创建根CA私钥:

(二)生成自签名证书

(三)创建数据库以及新颁发证书数字

(四)设置证书的起始编号

(五)创建文件夹储存用户信息

五、颁发证书

(一)生成服务器自己的私钥

(二)为服务器申请证书

(三)CA签署服务器的证书

(四)验证证书是否有效

六、吊销证书

 

一、前言

数字证书与CA的介绍:

证书是建立公共密钥和某个实体之间联系的数字化的文件。它包含的内容有:版本信息(X.509也是有三个版本的)、系列号、证书接受者名称、颁发者名称、证书有效期、公共密钥、一大堆的可选的其他信息、CA的数字签名。证书由CA颁发,由CA决定该证书的有效期,由该CA签名。每个证书都有唯一的系列号。证书的系列号和证书颁发者来决定某证书的唯一身份。
 CA是第三方机构,被你信任,由它保证证书的确发给了应该得到该证书的人。CA自己有一个庞大的public key数据库,用来颁发给不同的实体。CA也是一个实体,它也有自己的公共密钥和私有密钥。

openssl可以生成CA的证书文件,私钥,可实现加解密以及数字签名的功能。

二、openssl介绍

openssl是一款开放源代码软件包,通过命令行形式执行,包含了ssl协议库,应用程序以及密码算法库,集成了安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。

三、openssl的常用用法

(一)单向加密

openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-binary] [-out filename]

[-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] : 指可以用来加密的内容

-out filename指可以把加密内容保存到特定文件中

(二)生成随机数

openssl rand -base64|-hex NUM

可选base64或hex(十六进制)    

NUM:生成随机数的字节长度

(三)生成公钥,私钥

1.生成私钥

需要使用genrsa命令生成私钥,然后从生成的私钥中提取公钥

openssl genrsa [-out filename] [-des | -des3 | -idea] [numbits]

-out filename : 将生成的私钥保存至特定文件中

-des | -des3 | -idea : 可选用的密码学算法

numbits :生成的私钥长度,单位是字节,一般是2048

2.提取公钥

openssl rsa [-in filename] [-out filename] [-pubout]

-in filename : 公钥对应的私钥存储文件

-out filename : 提取出公钥后储存的文件

-pubout :公钥

四、搭建CA

(一)创建根CA私钥:

openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048

(二)生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -out /etc/pki/CA/cacert.crt  -days 3650

4d4d278b9af940be9c9e326e191375de.png

(三)创建数据库以及新颁发证书数字

touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial

(四)设置证书的起始编号

echo 01 > /etc/pki/CA/serial

(五)创建文件夹储存用户信息

cd /etc/pki/CA
mkdir data

五、颁发证书

(一)生成服务器自己的私钥

openssl  genrsa -out /etc/pki/CA/data/server.key 2048

31dfb124f4344ea285cda48bc6c92118.png

(二)为服务器申请证书

openssl req -new -key /etc/pki/CA/data/server.key -out /etc/pki/CA/certs/server.csr

7673fd5b1f2e48938f2e2b8851ea23a8.png

注意:前四项填写必须和CA相同,且server' s hostname必须是申请服务器的ip地址或者域名

(三)CA签署服务器的证书

openssl ca -in /etc/pki/CA/certs/server.csr -cert /etc/pki/CA/cacert.crt -keyfile /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/certs/server.crt -days 36500

efe51d6d53bb4dda91a938898be6ca47.png

(四)验证证书是否有效

openssl verify -verbose -CAfile /etc/pki/CA/cacert.crt /etc/pki/CA/certs/server.crt

c4cb5617fdfb4ce48891181b5792d00b.png

显示ok的话就可以了

 

将得到的server.crt和server.key发给服务器,在其ssl配置文件中导入即可实现http到https的转换。如果需要浏览器通过https安全访问web服务的话,还需要在浏览器中导入CA的自签名证书

六、吊销证书

由于撤销证书的命令在openssl配置文件中指定了CA字签名证书的名称,所以在撤销证书前,需要先改一下CA自签名证书的后缀名:

mv /etc/pki/CA/cacert.crt /etc/pki/CA/cacert.pem

  (一)查看证书serial信息

openssl x509 -in /etc/pki/CA/cacert.pem -noout -serial -subject

becd99eceb9b497187729ce654854632.png

 比对成功后,进行撤销

(二)吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

(三)查看证书状态

openssl ca -status 01

(四)定义证书撤销列表的起始编号

echo 01 > /etc/pki/CA/crlnumber

(五)更新证书撤销列表  

openssl ca -gencrl -out /etc/pki/CA/crl.pem

(六)查看证书撤销列表

openssl crl -in /etc/pki/CA/crl.pem -noout -text

210d6f8bc00745f6b5a6d61515c4866b.png

参考链接:

【CentOS 7+Apache】5分钟完成服务器搭建+全站HTTP转HTTPS_哔哩哔哩_bilibili

CentOS搭建基于Apache与OpenSSL自签名证书的HTTPS服务并解决客户端浏览器信任问题_aptx4869_li的博客-CSDN博客_centos httpd openssl

Centos7创建CA和申请证书 - mingzhang - 博客园 (cnblogs.com)

 

WmVicmE=
关注
  • 5
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
免费CA证书系统
10-25
一个免费的开源CA 证书签发系统,仅供参考和学习使用
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 7320
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器生成 3.客户端方生成
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1139
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
Java如何基于command调用openssl生成私钥证书
08-18
主要介绍了Java如何基于command调用openssl生成私钥证书,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
OpenSSL生成CA自签名根证书和颁发证书证书提取
Javazzc123的专栏
11-03 4673
>openssl x509 -req -in xxx/xxx-req.csr -out xxx/xxx-cert.pem -signkey xxx/xxx-key.pem -CA ca/ca-cert.pem -CAkey ca/root-key.pem -CAcreateserial -days 3650 ##签署服务器证书。$>openssl req -new -out xxx/xxx-req.csr -key xxx/xxx-key.pem ##创建证书请求。
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6034
openssl ca
openssl创建CA证书教程
justlpf的专栏
09-21 2545
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
openssl创建CA并签发证书
健忘16的博客
02-16 3141
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
openssl给内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 5353
openssl给内网IP生成ca证书(ssl证书)
c++实战区块链核心密码学-基于openssl
06-21
课程中实现了base16编解码 ,XOR对称加解密算法,PKCS7 pading数据填充算法,通过对一些简单算法的实现,从而加深对密码学的理解。 理论与实践结合: 课程如果只是讲代码,同学并不能理解接口背后的原理,在项目...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
高含金量计算机证书盘点
黑马程序员官方博客
09-15 426
华为认证是由华为公司推出的网络工程师认证,现在的认可度很高,是基于ICT产业链人才个人职业发展生命周期,以层次化的职业技术认证为指引,搭载华为“云-管-端”融合技术,推出的覆盖IP、IT、CT以及ICT融合技术领域的认证体系。思科认证有CCNA、CCDA、CCNP、CCDP、CCSP、CCIP、CCVP、CCIE等多种不同级别、不同内容、不同方向的各种认证。该考试一共5个专业类别,分别是:计算机软件、计算机网络、计算机应用技术、信息系统、信息服务,并分设了高、中、初级专业资格考试。
Credentia将在Casper网络上构建数字证书验证和资格认证系统
唐华斑竹的博客
06-03 99
刚刚,CasperLabs 正式宣布与Credentia建立合作伙伴关系。Credentia是一家通过构建工具来设计、签署、存储和验证数字文档的公司。这是继Casper推出首个允许用户在Casper分类账上无缝存档签名的原生dapp CasperSigns后进行的合作,双方将共同构建可通用识别的数字文档和凭证系统。 Credentia协助多个行业内的组织创建了带有全流程管理功能的可验证、可移植和可编程的数字凭证。其解决方案基于使用区块链技术的开放标准,为客户提供具有互操作性、安全性和保护隐私的在线处理有价.
openssl安装与使用
热门推荐
WuYujun's blog
06-18 6万+
文章目录1、OpenSSL简介2、 OpenSSL安装3、加密技术介绍4、openssl 命令4.1摘要命令4.2、对称加密命令4.3非对称加密命令4.3.1生成私钥4.3.2提取公钥4.3.3利用公私钥加密、解密数据4.3.4 数字签名4.3.5数字证书 1、OpenSSL简介 OpenSSL是一个SSL协议的开源实现,采用C语言作为开发语言,具备了跨平台的能力,支持Unix/Linux、Windows、Mac OS等多种平台。   OpenSSL最早的版本在1995年发布,1998年后开始由OpenS
数字证书在网络安全中的重要性与实际应用
最新发布
陕西省数字认证中心
03-12 555
例如,政府部门通过数字证书技术,可以实现在线办公、电子文件的安全传输和签名,提高工作效率,减少纸质文件的使用,推动政务信息化进程。通过数字证书,网站可以证明自己的身份,用户可以验证网站的真实性,从而建立安全的通信连接。在电子签名产品中,常见的包括个人数字证书、机构数字证书等,适用于各类电子合同、文件审批等业务场景,提高工作效率,降低纸质文件的使用。企业和个人可以通过数字证书进行身份认证,从而实现在线申领、使用和验证电子证照,避免了纸质证照的繁琐和不便,提高了办事效率,也减少了证照的遗失和伪造风险。
使用 OpenSSL 为 Nginx 创建自签名证书 并开启客户端身份验证
生活在底层的低级码农
07-28 1268
本文章默认读者了解Openssl,CA,网站证书相关知识,直接实战! 准备环境 笔者使用的是Ubuntu16 ,其实什么系统都无所谓,请不要使用旧版Openssl就好,因为里面的漏洞实在太致命。 #先创建一个文件夹 mkdir openssl.Test cd openssl.Test mkdir -p ./demoCA/{private,newcerts} touch demoCA/ind...
任务:搭建基于开源组件的PKI证书分发系统
06-09
好的,我了解了您的问题。对于搭建基于开源组件的PKI证书分发系统,我可以给您一些参考意见。 PKI证书分发系统是一种基于公钥基础设施的数字证书管理系统,其核心是证书颁发机构(CA)和证书撤销列表(CRL)。为了搭建这样的系统,您需要考虑以下步骤: 1. 选择合适的开源组件:您可以选择一些已有的开源组件来搭建PKI证书分发系统,例如OpenSSL、OpenCA、EJBCA等。 2. 部署证书颁发机构(CA):根据您的需求,可以选择自签名证书或者向公共CA购买数字证书,然后安装和配置证书颁发机构。您需要考虑证书的有效期、密钥长度、证书策略等。 3. 部署证书撤销列表(CRL):配置证书撤销列表,及时撤销已经过期或者被撤销的数字证书。 4. 配置证书请求和签发流程:根据您的需求,可以配置在线证书请求和签发流程,或者离线证书请求和签发流程。 5. 配置证书存储和访问:配置证书的存储和访问权限,例如LDAP、MySQL等。 6. 配置证书验证和身份认证:根据您的需求,可以配置证书验证和身份认证的策略。 7. 配置证书更新和维护:根据证书的有效期,定期更新和维护证书。 希望以上提供的参考意见可以帮助您搭建基于开源组件的PKI证书分发系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值