CA(openssl)

于 2023-10-01 21:17:16 发布
阅读量379 收藏 1
点赞数
分类专栏: 运维 文章标签: https ssl 网络 linux 笔记 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74204829/article/details/133469810
版权

目录

创建私有CA

1、创建CA所需要的文件

2、生成CA私钥

3、生成CA自签名证书

申请证书并颁发证书

1、为需要使用证书的主机生成私钥

2、为需要使用证书的主机生成证书申请文件

3、在CA签署证书并将证书颁发给请求者

改变检查策略

4、查看证书中的信息

5、index.txt和serial文件的介绍

6、同一个csr(证书签名请求)如何生成多个证书

吊销证书

在客户端获取要吊销的证书的serial

在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书

指定第一个吊销证书的编号

更新证书吊销列表

生成证书吊销列表文件

生成证书链

生成根证书

生成中间证书

生成服务器证书

生成证书链

格式文件

创建私有CA

1、创建CA所需要的文件

#生成证书索引数据库文件

touch /etc/pki/CA/index.txt

#指定第一个颁发证书的序列号

echo 01 > /etc/pki/CA/serial

2、生成CA私钥

cd /etc/pki/CA/

(umask 066; openssl genrsa -out private/cakey.pem 2048)

3、生成CA自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

选项说明:

-new:            生成新证书签署请求

-x509:           专用于CA生成自签证书

-key:             生成请求时用到的私钥文件

-days n:  证书的有效期限

-out /PATH/TO/SOMECERTFILE:       证书的保存路径

国家代码:https://country-code.cl/

范例:生成自签名证书

[root@CentOS7 ~]# openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.xiaobai.org" -keyout app.key -nodes -x509 -out app.crt

Generating a 1024 bit RSA private key

.......................++++++

.......................++++++

writing new private key to 'app.key'

#查看证书

[root@CentOS7 ~]# openssl x509 -in app.crt -noout -text

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            f5:42:e7:5a:cd:65:17:46

    Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN=www.xiaobai.org

        Validity

            Not Before: Jun 19 06:48:56 2023 GMT

            Not After : Jul 19 06:48:56 2023 GMT

        Subject: CN=www.xiaobai.org

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

·····

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Subject Key Identifier:

                36:BD:AE:68:3D:D8:48:09:7B:8D:B7:50:51:F8:0A:4A:92:F5:91:18

            X509v3 Authority Key Identifier:

                keyid:36:BD:AE:68:3D:D8:48:09:7B:8D:B7:50:51:F8:0A:4A:92:F5:91:18

            X509v3 Basic Constraints:

                CA:TRUE

    Signature Algorithm: sha256WithRSAEncryption

·····

[root@CentOS7 ~]#

申请证书并颁发证书

1、为需要使用证书的主机生成私钥

(umask 066;openssl genrsa -out data/test.key 2048)

2、为需要使用证书的主机生成证书申请文件

openssl req -new -key data/test.key -out data/test.csr

3、在CA签署证书并将证书颁发给请求者

openssl ca -in data/test.csr -out /etc/pki/CA/certs/test.crt -days 100

注意:默认要求国家,省,公司名称三项必须和CA一致,否则会报错

在 OpenSSL 中,要求证书申请中的组织信息(Organization)必须与 CA(证书颁发机构)的证书中的组织信息一致。这通常包括国家(Country),省(State),以及公司名称(Organization Name)等。

在证书申请过程中,OpenSSL 会自动从系统中获取当前系统的时区信息,并且要求申请者必须提供证书的有效期,以及证书的序列号等信息。此外,OpenSSL 也要求申请者必须提供证书的通用名称(Common Name),该名称通常用于表示证书的主机名或域名。

需要注意的是,OpenSSL 并不会检查申请者是否是合法的组织或公司,只会检查申请者提供的组织信息是否与 CA 的证书中的组织信息一致。因此,在使用 OpenSSL 申请证书时,需要谨慎核实申请者提供的组织信息是否正确,以确

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
https网络编程——使用openssl库自建根证书_openssl 生成根证书
2401_83642079的博客
04-05 462
创建ca文件夹,存放所有有关文件创建root文件夹存放根证书。
【一】生成CA根证书、公钥、私钥指令(数字证书)
Rookie_Manito的博客
01-18 9362
一、生成CA根证书 #生成 CA 私钥 openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书) openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期 二、每个证书持有人(Client、Server)都有一对公钥、私钥 #生成服务器端私钥 openssl genrsa -out server.key 1024 #利用服务器
openssl详解
热门推荐
王宁的博客
06-04 2万+
OpenSSL简介 目录 目录 第一章 前言 第二章 证书 第三章 加密算法 第四章 协议 第五章 入门 第六章 指令 verify 第七章 指令asn1parse 第八章 指令CA(一) 第九章 指令CA(二) 第十章 指令cipher 第十一章 指令dgst 第十二章 指令dhparam 第十三章 指令dsa 第十四章 指令dsaparam 第十五章 指令en
自签名CA认证
qq_43157273的博客
12-11 706
自签名CA认证 用openssl命令生成自己的根证书,让用户安装信任它,之后所有用这个根证书签名的证书,就可以被信任。 生成根证书 创建文件并配置环境mkdir /root/ca cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 > serial touch openssl.cnf 先创建/root/ca文件夹,所有CA的操作都会在这个文件夹执行。 /root/ca:C
Openssl生成CA证书及服务器签名证书
xyyaiguozhe的专栏
12-13 2607
环境: CentOS linux2.6.18-164.el5 openssl version OpenSSL 1.0.0d 8 Feb 2011 1. 给CA生成一个私匙 [root@localhost SSL]# openssl genrsa 2046 > ./cakey.pem Generating RSA private key, 2046 bit long modulus .
ca.zip_CA_ca openssl
09-24
小型CA系统前些天在网上看到了一些关于OPENSSL的介绍,觉得很有意思,于是做了一个程序,基本实现了数字证书的制作、SSL安全通讯、加解密操作等功能,秉承OPENSSL开放的原则,拿出来共享,主要实现写在了两个DLL中。...
CA.rar_c#crl_ca openssl_ep1kdl20.dll_证书
09-22
在这个名为"CA.rar_c#crl_ca openssl_ep1kdl20.dll_证书"的压缩包中,我们可以看到与CA相关的几个关键元素:CRL(证书撤销列表)、CA的实现、OpenSSL库,以及可能的动态链接库文件"ep1kdl20.dll"。下面将详细解释...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
openssl生成ca证书和服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
区块链技术应用学习
girls的博客
10-13 4229
学习导入 今天,以云计算、大数据、人工智能、区块链等为代表的的新一轮科技革命,对金融业 产生着前所未有的影响。新技术正义其独有的渗透性、冲击性、倍增性和创新性推动金融行 业发展到一个全新节点。金融科技人才,是复合型创新人才,需要金融方面掌握扎实理论基 础,科技方面尤其是区块链方面,掌握前沿技术,具备对金融产品和金融服务的设计、应用、 基本开发、维护的能力。 区块链,作为金融科技核心技术之一,其“去中心化”“不可篡改”“公开透明”等特 性在金融领域正在广泛应用,推动者金融服务模式和创新和变革,主要应用领域有
Nginx搭建HTTPS服务的自签证书
JackyOps
11-13 2365
SSL证书 证书类型简介 要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA)。CA验证证书请求及您的身份,然后将证书返回给您的安全服务器。 但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可! 由CA签署的证书为您的服务器提供两个重要的功能: ...
一次加密通信和SSL通信,openssl自建CA
YHM07的专栏
10-15 2090
一次会话,发邮件,用户和用户之间的数据加密 1、生成数据 2、用单向加密数据生成特征码 3、用自己的私钥加密特征码放在数据后面 4、生成临时会话密钥加密特征码和数据 5、用对方的公钥加密临时密钥
linux下使用openssl生成 csr crt CA证书
fhqsse220的专栏
05-22 2万+
本文主要借鉴和引用了下面2个地址的内容,然后在自己的机器上进行了测试和执行,并做了如下记录。 ref: http://blog.chinaunix.net/uid-26760055-id-3128132.html http://www.111cn.net/sys/linux/61591.htm 创建测试目录 mkdir /tmp/create_key/ca
加密解密基础、PKI及SSL、创建私有CA
weixin_33817333的博客
09-25 108
加密解密基础加密解密的技术:对称加密加密方和解密方使用是同一个密钥,加密解密的速度都很快,先将数据明文分成数据块儿,一般来讲是大小相同的,如果到最后剩下的不能与其他数据块儿的大小相同,那么就给它添加一些填充物,然后对每个数据块儿逐个加密,然后把加密后的数据块儿发给对方,每一次管理一块儿,但是,加密后的块儿怎么处理,因为每一个块儿都是单独处理,对方在破解数据时每一块儿独立破解,...
error: Cannot access CA certificate '/etc/pki/CA/cacert.pem': No such file or directory error: faile
韦远科的专栏
06-06 5129
用virsh管理虚拟机的时候出现以上的问题。 virsh -c qemu://system list error: Cannot access CA certificate '/etc/pki/CA/cacert.pem': No such file or directory error: failed to connect to the hypervisor   经检查
在CentOS8上实现私有CA和证书申请
y_zilong的博客
04-26 3658
私有CA创建的参看配置文件 /etc/pki/tls/openssl.cnf [root@y_zilong ~]# cat /etc/pki/tls/openssl.cnf [ CA_default ] dir = /etc/pki/CA # 所有证书存放的目录 certs = $dir/certs # 证书的位置 crl_dir = $dir/crl # 吊销证书的位置 database = $dir/index.txt # 数据库索引文件 #unique_subject = n.
linux信息安全_SSL,PKI,CA
cxu123321的博客
05-28 455
linux信息安全_SSL,PKI,CA篇 网名为什么那么长 2016-01-10 21:27:47 2404 收藏 展开 SSL,PKI,CA 若互联网上面信息的传输信息不采取任何加密技术,那么所有的数据都是透明的,毫无隐私可言,于是加解密技术就应运而生了。古代的加密方式更容易被人记忆,比如早期古希腊采取的羊皮卷加密,战争时期密报采取的不同的数字替换技术,这些加密的方法一旦被猜到和识破,真是弹指可破,随着计算机的计算能力的不断提高,加密技术也伴随者越来越复杂的算法运算,有...
CA,给了数据库,给了机器,为啥也扩不了容?
架构师之路
11-28 524
随着业务越来越复杂,数据量越来越大,并发量越来越大,数据库的性能越来越低。好不容易找运维申请了两台机器,让DBA部署了几个实例,想把一些业务库拆分出来,却发现拆不出来,扩不了容,尴尬!   因为数据库强关联在一起,无法通过增加数据库实例扩容,就是一个耦合的典型案例。   场景还原 有一个公共用户数据库DB_USER,里面table_user存放了通用的用户数据: table_user
openssl ca
最新发布
03-09
其中,openssl caOpenSSL工具包中的一个命令,用于创建和管理证书颁发机构(CA)。 使用openssl ca命令,可以执行以下操作: 1. 创建自签名的根证书:可以使用openssl req命令生成一个自签名的根证书,并将其作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

「已注销」

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值