使用openssl构建私有CA

已于 2024-06-20 09:51:11 修改
阅读量239 收藏 1
点赞数 1
分类专栏: linux 文章标签: linux
于 2023-03-14 22:33:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65151204/article/details/129541457
版权

文章目录

一、openssl介绍?

OpenSSL是一个开放源代码软件包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

OpenSSL由三部分组成:

                加密和解密库:libencrypt

                安全通信ssl库:libssl

                多用途命令行工具:openssl

二、配置文件介绍

/etc/pki/tls/openssl.conf

dir             = /etc/pki/CA          #openssl的工做目录
certs           = $dir/certs            # 发放证书的目录
crl_dir         = $dir/crl              # 吊销证书目录
database        = $dir/index.txt        # 证书存取数据库

certificate     = $dir/cacert.pem       # 自签证书
serial          = $dir/serial           # 证书序列号
private_key     = $dir/private/cakey.pem # CA自己的私钥

default_days    = 365                   # 证书有效期
default_crl_days= 30                    # 吊销时间
default_md      = sha256                #默认的消息摘要算法

三.构建私有CA

在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可

步骤:

 

(1)生成私钥
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
(2)生成自签证书
 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
     -new 生成新证书签署请求
     -x509 生成自签证书,专用于构建私有CA
     -key 生成请求用到的私钥文件
     -out  生成请求文件路径,如果自签操作将直接生成签署过的证书
     -days 证书时长
(3)为CA提供所需的目录及文件
mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
touch /etc/pki/CA/{serial,index.txt}
echo 01 > /etc/pki/CA/serial

要用到证书进行安全通信的服务器,需要向CA请求签署证书

步骤:

(1)用到证书的主机生成私钥
mkdir /etc/httpd/ssl
(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 4096)
(2)生成证书签署请求
openssl req -new -key  /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 3650
(3)将请求通过的可靠方式发送给CA主机
(4)在CA主机上签署证书
openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 3650

查看证书中的信息
openssl x509 -in httpd.crt -noout -serial -subject
              -serial 证书编号
              - subject 证书中的信息

总结

简单介绍了一下CA的操作过程,CA的工作原理在这里不进行介绍,希望对大家有用。有什么不足的地方希望各位指出来。谢谢

忙里偷闲学python
关注
专栏目录
openssl-cookbook.pdf
05-05
2. 如何构建和部署现实可用的私有证书颁发机构(CA)。 3. 如何在SSLLabs上获取A+评分。 4. 如何理解和部署SSL/TLS以保护服务器和Web应用程序。 5. 提供了免费的课程价格优惠代码。 在网络安全领域,SSL/TLS协议是...
搭建私有CA
sxy2475的博客
09-09 2561
搭建私有CA 搭建私有CA 前言 什么是CA 什么是CA证书 获取CA证书两种方法 opensslcnf文件 搭建CA认证中心 申请证书 颁发证书 吊销证书 前言 什么是CA CA是Certificate Authority的缩写,也叫“证书授权中心”。 在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到
利用OpenSSL实现私有 CA 搭建和证书颁发
写Bug的小白的博客
08-13 1165
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件。
OpenSSL 生成CA证书和自签名证书
最新发布
u010100623的博客
07-18 949
openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。吊销证书需要使用默认的配置文件/etc/pki/tls/openssl.cnf,当然也可以复制一份openssl.cnf文件,自己改一下配置也可。这里使用默认的配置文件/etc/pki/tls/openssl.cnf。因后面生成证书时使用到了openssl配置文件/etc/pki/tls/openssl.cnf,所以要提前创建,如果不使用
openssl创建CA并签发证书
健忘16的博客
02-16 3729
一、创建私有CA根证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
创建私有CA,我就用openSSL
程序那些事
07-21 687
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
OpenSSL 证书
u010249118的博客
10-11 5893
X.509 OpenSSL 证书
Linux openssl 搭建CA、签名证书
sayyy的专栏
09-04 1161
Linux openssl 搭建CA、签名证书
OpenSSL Cookbook 原版英文
12-28
书中强调了使用OpenSSL进行服务器安全配置和Web应用加密的实践过程,包括了如何在SSLLabs上获得A+评分的策略与方法,以及如何建立和部署一个现实的私有证书颁发机构(CA)。通过这本书的学习,读者可以理解SSL/TLS的...
ca
03-19
7. **Node.js环境中的CA**:在Node.js服务器端,开发者可以指定自己的CA信任特定的自签名证书,这在内网环境或私有CA系统中很有用。通过`https.createServer`方法的`ca`选项可以设置可信任CA证书。 8. **Web...
浏览器https受信任证书生成——openssl颁发受信任证书
zw
03-26 1308
解决https访问浏览器提示不安全
我实践:自建CA及证书颁发(openssl)
超级无敌棒棒糖
09-30 967
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
Windows openssl自建CA并分发证书(ECC)
c630843901的博客
07-06 3480
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证书我们需要使用证书来签名服务器和客户端的证书,使用私钥生成根证书,为此我们创建几个目录,用来存储证书,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件夹生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA证书 使用上一步生成的CA私钥,生成CA证书 接
基于openssl工具完成自建CA以及为server,client颁发证书
tutu_hu的博客
06-03 3474
本文总结了openssl工具的常用命令,并基于openssl完成自建CA,并使用该自建CA给server和client颁发证书,进一步完成基于https协议的server和client的通信。
创建私有CA私有CA使用
weixin_33757609的博客
01-16 254
CA分为公共信任CA私有CA,若想使用公共信任CA需要很多的money,如果想要在有限范围内使用CA认证方式,可以自己创建一个。下面了解一下CA及其创建方法: CA的配置文件为 /etc/pki/tls/openssl.cnf,奥秘都在里边了。[ca]#定义了默认的ca default_ca=CA_defa...
搭建开源CA认证-申请颁发证书
抽象空间的博客
06-30 4757
OpenSSL 生成随机数: 格式:openssl rand -base64|-hex NUM NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2 示例1:[root@CentOS7 data]#openssl rand -hex 12 生成的是16进制数,2位16进制数是1个字节,12个字节就是12*2=24位16进制数 示例2: base64:...
openssl实现私有CA
zhenzhu_z的博客
12-26 181
openssl实现私有CA
linux构建私有CA并下载安装证书
07-27
Linux构建私有CA(证书颁发机构)并下载安装证书,你可以按照以下步骤进行操作: 1. 生成私有CA的私钥(private key): ``` openssl genrsa -out ca.key 4096 ``` 2. 使用私钥生成自签名的CA证书(certificate): ``` openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 3. 将CA证书安装到系统的受信任根证书存储库中(这可能因Linux发行版而异)。 - 对于Debian/Ubuntu系列,使用以下命令安装CA证书: ``` sudo cp ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates ``` - 对于CentOS/RHEL系列,使用以下命令安装CA证书: ``` sudo cp ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` 4. 下载证书: ``` openssl s_client -connect example.com:443 -showcerts </dev/null | sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/p' > server.crt ``` 将`example.com`替换为你要下载证书的域名。 5. 将下载的证书安装到系统的受信任证书存储库中。 - 对于Debian/Ubuntu系列,使用以下命令安装证书: ``` sudo cp server.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates ``` - 对于CentOS/RHEL系列,使用以下命令安装证书: ``` sudo cp server.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` 完成以上步骤后,你的Linux系统将信任由你的私有CA签发的证书,并且可以安装和使用相应的证书。请根据你的具体需求和Linux发行版进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

忙里偷闲学python

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值