利用openssl命令搭建私有CA管理证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量649 收藏 1
点赞数
分类专栏: Linux运维 文章标签: openssl CA证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcn01/article/details/105023684
版权
本文详细介绍了如何利用openssl命令行工具搭建私有CA认证中心,创建自签名证书,以及证书申请和吊销过程。内容涵盖了PKI概念,SSL协议的作用和工作流程,重点讲解了自建CA的步骤,包括生成私钥、证书请求文件,以及证书的签署和分发。此外,还提及了证书吊销的相关知识。
摘要由CSDN通过智能技术生成

利用openssl命令搭建私有CA管理证书

一:PKI

CA中心——CA系统——数字证书
CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。
专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。

  1. 签证机构:CA(Certificate Authority)
  2. 注册机构:RA(Register Authority)
  3. 证书吊销列表:CRL(Certificate Revoke Lists)
  4. 证书存取库

X.509:定义了证书的结构和认证协议的标准。包括版本号、序列号、签名算法、颁发者、有效期限、主体名称、主体公钥、CRL分发点、扩展信息、发行者签名等

获取证书的两种方法:

  1. 使用证书授权机构
    生成签名请求(csr)
    将csr发送给CA
    从CA处接收签名
  2. 自签名的证书
    自已签发自己的公钥重点介绍一下自建CA颁发机构和自签名。

二:SSL协议

SSL (Secure Socket Layer)是Netscape所研发用保障Internet数据传输安全利用数据加密(Encryption)技术确保数据网络。传输程截取及窃听目前般通用规格40 bit安全标准美则已推128 bit更高安全标准限制境要3.0版本I.E.或Netscape浏览器即支持SSL。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输.它位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。

SSL (Secure Socket Layer) 协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。

SSL协议的工作流程:

服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
SSL协议的工作流程

三:自建CA颁发机构和自签名

环境准备:

IP地址 Hostname 操作系统 用途
172.17.2.245 node245.ginvip.com CentOS7.4 CA认证中心
172.17.2.246 node246.ginvip.com CentOS7.4 请求签名证书

3.1 搭建私有CA认证中心

openssl的配置文件:/etc/pki/tls/openssl.cnf

####################################################################
[ ca ]
default_ca  = CA_default    # The default ca section(默认的CA配置,是CA_default,下面第一个小节就是)
####################################################################
[ CA_default ]
dir     = /etc/pki/CA       # Where everything is kept (dir变量)
certs       = $dir/certs       # Where the issued certs are kept(认证证书目录)
crl_dir     = $dir/crl     # Where the issued crl are kept(注销证书目录)
database    = $dir/index.txt   # database index file.(数据库索引文件)
new_certs_dir   = $dir/newcerts        # default place for new certs.(新证书的默认位置)
certificate = $dir/cacert.pem  # The CA certificate(CA机构证书)
serial      = $dir/serial      # The current serial number(当前序号,默认为空,可以指定从01开始)
crlnumber   = $dir/crlnumber   # the current crl number(下一个吊销证书序号)
                    # must be commented out to leave a V1 CRL
crl     = $dir/crl.pem         # The current CRL(下一个吊销证书)
private_key = $dir/private/cakey.pem# The private key(CA机构的私钥)
RANDFILE    = $dir/private/.rand   # private random number file(随机数文件)
x509_extensions = usr_cert      # The extentions to add to the cert
# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt    = ca_default        # Subject Name options(被颁发者,订阅者选项)
cert_opt    = ca_default        # Certificate field options(认证字段参数)
# Extension copying option: use with caution.
# copy_extensions = copy
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crlnumber must also be commented out to leave a V1 CRL.
# crl_extensions    = crl_ext
default_days    = 365           # how long to certify for (默认的有效期天数是365)
default_crl_days= 30            # how long before next CRL
default_md  = sha256        # use SHA-256 by default
preserve    = no            # keep passed DN ordering
# A few difference way of spec
最低0.47元/天 解锁文章
琴酒网络
关注
专栏目录
openssl搭建私有CA证书及颁发证书(环境Linux/centos8)
yang_tu的博客
04-27 785
所需包:openssl-libs /etc/pki/tls /etc/pki/tls/certs /etc/pki/tls/ct_log_list.cnf . . . openssl配置文件/etc/pki/tls/openssl.cnf,三种策略:match匹配、optional可选、supplied提供 match:要求申请填写的信息跟CA设置信息必须一致 optional:可有可无,跟CA设置信息可不一致 supplied:必须填写这项申请信息 搭建私有CA: 创建相关目录: [root@cen
OpenSSL 使用openssl工具搭建私有CA
海阔天空
05-19 9022
SSL(安全套接层)是为网络通讯提供安全及数据完整性的一种安全协议,TLS(SSL的继承版本)与SSL在传输层对网络连接进行加密。SSL用以保障在数据传输的安全利用数据加密技术,可确保数据在网络上之传输过程中不会被窃取和监听。功能:机密性,认证,完整性,重放保护两阶段协议,分为握手阶段和应用阶段握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商...
证书
tomhibolu
02-26 283
证书 1.CA自签证书 cd /etc/pki/CA/private 生成密钥: [root@station116 private]# openssl genrsa 2048 > ca.key Generating RSA private key, 2048 bit long modulus ...............................+++ .......+...
openssl搭建私有CA
weixin_34235457的博客
12-09 289
数据加密、CAOpenSSLSSL security socket layer,安全套接字层openssl (软件)加密算法和协议: 对称加密:加密和解密使用同一密钥;(依赖于算法和密钥,其安全性依赖于密钥而非算法) 常见算法:des 3des(常用) idea cast5 特性:加密、解密使用同一密钥;将明文分隔成固定大小的块,逐个进行加密 ...
Openssl私有CA搭建
weixin_34417635的博客
05-03 177
转自:http://www.tuicool.com/articles/aURnim 随着网络技术的发展、internet的全球化,信息共享程度被进一步提高,各种基于互联网的应用如电子政务、电子商务日益增多并愈加被人们工作和 生活依赖。但是,由于互联网的开放性和通用性,网络上的信息是对所有人公开的,这就使网络上的数据传输过程中存在被窃听、篡改等安全隐患,并极有可能给用 户带来不可估量的损失。为此,...
利用openssl搭建CA
xhch2009的专栏
10-18 757
需求描述: (1) 在节点上搭建一个CA; (2) 给用户user1颁发证书; (3) 验证证书的可信。 1.创建CA –(1)创建CA需要用到的目录和文件 –mkdir "$HOME/testca" –cd "$HOME/testca" –mkdir newcerts private conf –chmod g-rwx,o-rwx private –echo"
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1498
CA证书 CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
OpenSSL创建私有CA,签证和吊销证书
独孤柯灵的博客
11-18 3571
OpenSLL创建私有CA,签证和吊销证书
创建私有CA,我就用openSSL
程序那些事
07-21 688
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
openssl生成私有证书
a2886015的博客
09-01 287
1、opensslreq-x509 -days 3650 -newkey rsa:1024 -nodes -keyout server.key -out server.cert 2、openssl x509 -in server.cert -out server.pem -outform PEM 第1步会生成server.key和server.cert(后缀名若是.crt也是可以的)两个文件,有些程序只需要这2个文件就足够了,但是有些程序使用的是pem文件,而不是cert文件,比如nodejs,所...
基于openssl工具完成自建CA以及为server,client颁发证书
tutu_hu的博客
06-03 3482
本文总结了openssl工具的常用命令,并基于openssl完成自建CA,并使用该自建CA给server和client颁发证书,进一步完成基于https协议的server和client的通信。
利用OpenSSL实现私有 CA 搭建证书颁发
写Bug的小白的博客
08-13 1165
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件。
openssl创建CA证书教程
justlpf的专栏
09-21 4072
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
浅谈CA证书以及Openssl管理证书
黑白一戒
11-07 1180
浅谈CA证书以及Openssl管理证书CA证书安全协议(SSL/TLS)OpenSSLOpenSSL实现创建CA并申请、管理证书 CA证书 一、PKI(Public Key Infrastructure) 公钥基础设施 定义:支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施 主要组成部分: 签证机构:CA (Certificate Authority) 注册机构:RA ...
精心为您准备的Openssl实现私有CA的详细过程,以及如何配置安装证书
weixin_33751566的博客
04-10 124
给自己一个自签证书一般需要一个客户端和一个服务器端,为了方便起见,我所做的自签证书是在同一台主机上完成的,然后在物理主机上安装验证。 一、实现私有CA的准备过程 1、安装ssl模块 2、查看mod_ssl列表 二、做一个自签证书的详细的过程 1、先为自签证书生成一个密钥 2、vim /etc/pki/tls/openssl.cnf 修改以下内容 ...
创建私有CA私有CA的使用
weixin_33757609的博客
01-16 254
CA分为公共信任CA私有CA,若想使用公共信任的CA需要很多的money,如果想要在有限范围内使用CA认证方式,可以自己创建一个。下面了解一下CA及其创建方法: CA的配置文件为 /etc/pki/tls/openssl.cnf,奥秘都在里边了。[ca]#定义了默认的ca default_ca=CA_defa...
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 5493
本地使用 openssl 生成证书
我实践:自建CA证书颁发(openssl)
超级无敌棒棒糖
09-30 967
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书私有CA签名证书的区别7 good8 openssl.cnf: 用心之作,用openss
如何用知行之桥EDI系统生成自签名证书?
EDI电子数据交换 | 知行软件
02-19 232
本文主要介绍数字证书的概念,以及自签名证书的生成和使用。大家在浏览网页的时候经常会遇到这种情况:浏览器提示:“此网站的数字证书不可靠”。想必大家会有这样一个疑问——什么是数字证书?数字证书是一种电子文档,通过数字证书可以在互联网上验证您的身份。 要想将数据传输给指定的接收方,并且在传输过程中,使得其他人无法读取该信息,数字证书必不可少。其在互联网中的作用类似于我们出行必备的身份证或者司机必备的驾驶证。在互联网交往中,人们通过数字证书识别对方身份,保证信息能够安全送达。 生成数字证书有两种方法,第一种是由权威
使用OpenSSL创建私有CA证书安全实践
创建私有证书颁发机构(CA)是 OpenSSL 的一个重要应用,这对于个人、开发团队或小型组织来说,能够提供一种自定义的安全解决方案。 在创建私有CA的过程中,OpenSSL 提供了一套完整的命令行工具,尽管操作相对复杂...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值