创建CA并签署证书

最新推荐文章于 2021-08-12 10:45:56 发布
最新推荐文章于 2021-08-12 10:45:56 发布
阅读量1.3k 收藏
点赞数
文章标签: apache ssl 脚本 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ncowboy/article/details/2611232
版权

准备目录

mkdir -p /etc/openssl/root/

mkdir -p /etc/openssl/server/

cd /etc/openssl

先建立一个 CA 的证书,首先为CA 创建一个 RSA 私用密钥,

openssl genrsa -des3 -out root/ca.key 1024

你可以用下列命令查看它的内容,

openssl rsa -noout -text -in root/ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)

openssl req -new -x509 -days 3650 -key root/ca.key -out root/ca.crt

你可以用下列命令查看它的内容,

openssl x509 -noout -text -in root/ca.crt

为你的 Apache 创建一个 RSA 私用密钥:

openssl genrsa -des3 -out server/server.key 1024

用 server.key 生成证书签署请求 CSR.

openssl req -new -key server/server.key -out server/server.csr

签署证书了,需要用到脚本

sign.sh sign.sh server/server.csr

#!/bin/sh
##
##  sign.sh -- Sign a SSL Certificate Request (CSR)
##  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
##

#   argument line handling
CSR=$1
if [ $# -ne 1 ]; then
echo "Usage: sign. <whatever>.csr"; exit 1
fi
if [ ! -f $CSR ]; then
echo "CSR not found: $CSR"; exit 1
fi
case $CSR in
*.csr ) CERT="`echo $CSR | sed -e 's//.csr/.crt/'`" ;;
* ) CERT="$CSR.crt" ;;
esac

#   make sure environment exists
if [ ! -d /etc/openssl/ca.db.certs ]; then
mkdir /etc/openssl/ca.db.certs
fi
if [ ! -f /etc/openssl/ca.db.serial ]; then
echo '01' >/etc/openssl/ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null /etc/openssl/ca.db.index
fi

#   create an own SSLeay config
cat >ca.config <<EOT
[ ca ]
default_ca      = CA_own
[ CA_own ]
dir     = /etc/openssl
certs   = /etc/openssl/certs
new_certs_dir   = /etc/openssl/ca.db.certs
database        = /etc/openssl/ca.db.index
serial  = /etc/openssl/ca.db.serial
RANDFILE        = /etc/openssl/ca.db.rand
certificate     = /etc/openssl/root/ca.crt
private_key     = /etc/openssl/root/ca.key
default_days    = 365
default_crl_days        = 30
default_md      = md5
preserve        = no
policy  = policy_anything
[ policy_anything ]
countryName     = optional
stateOrProvinceName     = optional
localityName    = optional
organizationName        = optional
organizationalUnitName  = optional
commonName      = supplied
emailAddress    = optional
EOT

#  sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile /etc/openssl/root/ca.crt $CERT

#  cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old

#  die gracefully
exit 0

ncowboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手工签署证书的方法
shawls的专栏
02-21 1227
虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器 的证书签名,但是有时你可能需要改变它。 当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署 证书。 首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时 的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加
CA数字证书签名
feng_junwei的博客
02-14 2461
CA数字证书签名的原理 通过第三方CA认证机构,对电子签名的持有人身份进行认证,然后制作相应的电子数据,并形成一个硬件USB发放给到持有人,后续持有人在使用的时候,在电脑上插上USB就可以直接调用。同时可以配备使用的密码,使用时进行人脸识别及手机短信验证等。 出现的背景 CA数字证书签名出现的背景是电子签名技术不够成熟,没有一种技术方法能够实现身份的认定、签名行为的认定,这时候就引入第三方认证机构,相当于在软件实力不够的情况下,加一个保护锁,由CA机构一起来分摊风险。 ...
自建CA并签名server证书实现https
Andy Tools
05-14 9871
因为目前环境在本地进行测试,所以我们采用自建CA并签名server证书的方式实现https。(如果使用AWS服务则是AWS作为CA,并根据我们提供的资料生成server证书) 数字签名相关知识课参阅:https://blog.csdn.net/m0_37263637/article/details/80285143 server环境:nginx(ubuntu) 工具:openssl 名词...
创建私有CA并签发证书
piaoling691的博客
06-03 1682
一、创建私有CA  1、创建所需要的文件    2、创建私有密钥    3、CA自签证书      -new: 生成新证书签署请求;               -x509: 专用于CA生成自签证书;不自签的时候不要加该选项               -key: 生成请求时用到的私钥文件;              -days n:证书的有效期限;              -out /PATH...
(13) openssl ca(签署和自建CA)
weixin_30616969的博客
10-03 233
用于签署证书请求、生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库。因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能。 证书请求文件使用CA的私钥签署之后就是证书签署之后将证书发给申请者就是颁发证书。 在签署时,为了保证证书的完整性和一致性,还应该对签署证书生成数字摘要,即使用单向加密算法。 由于openssl ca命令对配置文件(默认为/...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
服务器证书创建流程类似,首先生成服务器私钥,然后创建证书请求,最后由CA签署证书: ```shell # 生成服务器私钥 openssl genrsa -out server.key 2048 # 创建服务器证书请求 openssl req -new -key server.key...
openssl创建ca 公私密钥 证书
07-13
私钥必须保密,用于解密数据或签署证书。 3. **证书**:包含公钥、主体信息(如组织名、域名)以及CA的签名,用于证明公钥的所有权。 接下来,我们将按照以下步骤创建CA和生成证书: 1. **创建CA私钥**: 使用...
基于tls的CA测试证书
12-06
1. **创建CA私钥**:首先,使用命令行工具(如OpenSSL)生成一个私钥,指定椭圆曲线参数,例如`secp256r1`或`secp384r1`。 2. **创建自签名CA证书**:利用私钥生成一个自签名的CA证书,包含公钥信息、有效期、主体和...
openssl 创建ca 签发证书
10-10
以上就是使用OpenSSL创建CA并签发证书的基本步骤。在实际应用中,你可能还需要考虑证书撤销、密钥备份和恢复等高级操作。文档“openssl创建CA.docx”应该提供了更详细的操作指南和例子,建议仔细阅读,以便更好地...
nginx_CA证书创建
01-20
2. 使用自建CA签署服务器证书:`openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt`。这一步将服务器的CSR与CA证书和私钥结合,生成了带有CA签名的服务器证书。 完成...
自建CA签署证书
weixin_34144450的博客
04-03 145
1、自建CA#cd/etc/pki/CA/ #(umask077;opensslgenrsa-outprivate/cakey.pem2048) #opensslreq-new-x509-keyprivate/cakey.pem-outcacert.pem-days3656 CountryName(2lettercode)[XX...
建立自己的CA签署自己的服务器证书,配置自己的https站点
wqs1106的博客
09-27 1133
一、目标 从头开始配置一个自己的https站点,并让本机浏览器信任站点。 二、商用步骤 1. 创建自己的私钥 2. 创建CSR(Cerificate Signing Request) 3. 发送CSR给CA,获取证书文件 4. 部署私钥和证书文件到服务器端,完成https站点的配置。 三、实验步骤 由于CA签署证书文件需要一定的条件(时间,金钱),在实验阶段不太切合实际。所以实验或...
HBase_HBase架构解析_基于Hbase2.0
迎难而上
05-03 1535
HBase架构组成 HMaster组成 HRegionServer节点 Zookeeper集群 HBase容错机制 HBase架构组成 HBase 采用 Master / Slave 架构搭建集群,它隶属于 Hadoop 生态系统,由以下几个类型的节点组成 HMaster节点、 HRegionServer节点、 ZooKeeper集群 而在底层,它将数据存储于...
springboot整合hbase-client,实现put,query,delete,exists
写bug的小哥哥
11-18 2668
1.环境 本例使用hbase-client也就是hbase的原生客户端去操作hbase,所需环境有: jdk1.8 springboot2.3.4 三台Hadoop机器构建的hadoop集群,也可以使用单机 项目目录如下: 2.添加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifa
创建私有CA证书颁布详解
Joah_li的博客
09-06 3874
一、CA证书简介 CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个
实现CA证书创建及客户端申请证书
weixin_30372371的博客
07-17 1207
author:JevonWei 版权声明:原创作品 CA证书的相关文件路径 openssl配置文件/etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf CA相关文件都在/etc/pki/CA/目录下 /etc/pki/CA/cert 存放发布证书 /etc/pki/CA/crl 证书吊销列表 /etc/pki/CA/index...
本地颁发 SSL 证书,并开启 https 服务调试
qq_35178316的博客
08-12 7944
一、创建并设置根证书 1、生成名称为myRootCA.key的秘钥文件 openssl genrsa -des3 -out myRootCA.key 2048 注:2048 是 RAS-2048 会提示输入一个密码,请自行记住该密码,后续生成根证书会用到。 2、生成名称为myRootCA.pem的根证书 openssl req -x509 -new -nodes -key myRootCA.key -sha256 -days 1024 -out myRootCA.pem...
CA自签证书的颁发及应用
weixin_33971205的博客
04-09 126
1.首先安装openssl软件和ssl模块 [root@localhost ~]# yum install openssl [root@localhost ~]# yum install mod_ssl 模块安装完成后,会生成一个 /etc/httpd/conf.d/ssl.conf,这个配置会作为主配置文件使用 2.CA提供自签证书 <1>首先CA要成...
使用最新的 hbase-client 2.1 操作 hbase
刘本龙的专栏
07-18 6749
文章目录概述引入依赖配置文件编写测试代码 概述 springboot 2.1 集成 hbase2.1 环境说明: hbase:2.1.5 springboot:2.1.1.RELEASE hadoop :2.8.5 java: 8+ hadoop环境:Hadoop 2.8.5 完全分布式HA高可用安装(二)–环境搭建 hbase环境:hbase 2.1 环境搭建–完全分布式模式 Advanced ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值