构建私有的 CA 机构

最新推荐文章于 2023-03-14 22:33:12 发布
最新推荐文章于 2023-03-14 22:33:12 发布
阅读量811 收藏
点赞数
分类专栏: 1092151971:资源群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qfxulei/article/details/107814682
版权
本文详细介绍了如何构建私有的CA(证书颁发机构),包括检查openssl安装、配置文件、根证书服务器目录的创建,以及密钥和自签名证书的生成。此外,还讲解了客户端CA证书的申请和签名过程,确保安全的服务器与客户端通信。
摘要由CSDN通过智能技术生成

CA中心申请证书的流程:

过程: 1。web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2。web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。

1、CA 介绍

CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。

2、构建私有 CA

1、检查安装 openssl

[root@https-ca ~]# rpm -qa openssl

如果未安装

[root@https-ca ~]# yum install openssl openssl-devel -y

2、查看配置文件

openssl 配置/etc/pki/tls/openssl.cnf有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件,此配置文件对于证书申请者是无作用的。

[root@https-ca ~]# vim /etc/pki/tls/openssl.cnf
####################################################################
[ ca ]
default_ca      = CA_default            # 默认的CA配置;CA_default指向下面配置块
​
####################################################################
[ CA_default ]
​
dir             = /etc/pki/CA           # CA的默认工作目录
certs           = $dir/certs            # 认证证书的目录
crl_dir         = $dir/crl              # 证书吊销列表的路径
database        = $dir/index.txt        # 数据库的索引文件
​
​
new_certs_dir   = $dir/newcerts         # 新颁发证书的默认路径
​
certificate     = $dir/cacert.pem       # 此服务认证证书,如果此服务器为根CA那么这里为自颁发证书
serial          = $dir/serial           # 下一个证书的证书编号
crlnumber       = $dir/crlnumber        # 下一个吊销的证书编号
                                        
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem# CA的私钥
RANDFILE        = $dir/private/.rand    # 随机数文件
​
x509_extensions = usr_cert              # The extentions to add to the cert
​
name_opt        = ca_default            # 命名方式,以ca_default定义为准
cert_opt        = ca_default            # 证书参数,以ca_default定义为准
​
​
default_days    = 365                   # 证书默认有效期
default_crl_days= 30                    # CRl的有效期
default_md      = sha256                # 加密算法
preserve        = no                    # keep passed DN ordering
​
​
policy          = policy_match          #policy_match策略生效
​
# For the CA policy
[ policy_match ]
countryName             = match         #国家;match表示申请者的申请信息必须与此一致
stateOrProvinceName     = match
最低0.47元/天 解锁文章
千锋天云
关注
专栏目录
搭建私有CA
sxy2475的博客
09-09 2548
搭建私有CA 搭建私有CA 前言 什么是CA 什么是CA证书 获取CA证书两种方法 opensslcnf文件 搭建CA认证中心 申请证书 颁发证书 吊销证书 前言 什么是CA CA是Certificate Authority的缩写,也叫“证书授权中心”。 在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到
生成可信任的SSL证书
最新发布
雪急飞绪博客
03-19 2219
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书。SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
创建私有CA
weixin_34062469的博客
09-16 130
创建私有CA:openssl的配置文件:/etc/pki/tls/openssl.cnf(1) 创建所需要的文件 # touch index.txt # echo 01 > serial #(2) CA自签证书 # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) # openssl...
构建私有CA
Ghoy的博客
09-10 1651
前言什么是CACA是Certificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书。CA证书也是数
私有CA搭建
weixin_42243133的博客
05-02 227
1、创建CA所需要的文件 生成证书索引数据库文件 touch /etc/pki/CA/index.txt 指定第一个颁发证书的序列号 1235 echo 01 > /etc/pki/CA/serial 查看证书内容 [root@centos880 CA]# openssl x509 -in zhengshu -noout -text 生成CA私有密钥于/etc/pki/CA/private openssl genrsa -out private/cakey.pem 2048 为CA自己颁
linux中构建私有CA并下载安装证书
07-27
在Linux中构建私有CA(证书颁发机构)并下载安装证书,你可以按照以下步骤进行操作: 1. 生成私有CA的私钥(private key): ``` openssl genrsa -out ca.key 4096 ``` 2. 使用私钥生成自签名的CA证书...
局域网构建私用CA
archive_s的博客
09-05 929
CA全称Certificate Authority,也叫“证书授权中心”,是负责管理和签发证书的第三方机构
PKI介绍及搭建Linux私有CA (SSL 示例)
weixin_44983653的博客
07-20 4377
PKI介绍及搭建Linux私有CAPKI 介绍PKI 概念CA构建私有CA请求证书吊销证书 PKI 介绍 PKI的诞生主要是为了防范中间人攻击。中间人攻击如下图所示: PKI 概念 PKI(Public Key Infrastructure):公钥基础设施,主要包括以下四个部分: 签证机构CA) 注册机构(RA) 证书吊销列表(CRL) 证书存取库 X.509v3:定义了证书的结构以及认证...
搭建私有CA和证书认证
weixin_33905756的博客
01-24 194
/etc/pki/tls/openssl.cnf部分内容生成私钥, 证书自签名 查看证书centos6 生成秘钥和公钥,发送公钥给centos7 申请证书centos7 签发证书,回传给centos6(比较两个文件,其实内容是一样的,名字不一样)win下 把cacent.crt 加入根证书机构 ,打开app.crt看到证书已经生效 转载于:https://blog...
构建私有CA 机构(拓展)
PercyXuBiao的博客
08-02 467
过程1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)2、web服务器使用web私钥生成web服务器的证书请求文件,并将证书请求发给CA服务器3、CA服务器使用CA的私钥对web服务器的证书请求进行数字签名得到web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CACA的数字签名等信息。通常以.csr为后缀,是网站向CA发起认证请求的文件,是中间文件。...
搭建私有CA,并颁发证书
木子甘
09-26 891
步骤一、创建所需要的文件所有的有关设置都在 /etc/pki/tls/openssl.cnf 内有相应设置和描述1.生成的证书索引的数据库文件(CA端) 默认不存在 touch /etc/pki/CA/index.txt2.下一个生成证书的索引编码(CA端)echo 01 > /etc/pki/CA/serial二、CA自签证书(CA端)1.生成私钥(CA端)(umask 066 ; ope
创建私有CA,我就用openSSL
程序那些事
07-21 670
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
搭建私有CA及证书的申请与授权
qq_40343772的博客
05-11 805
基本概念 当我们访问一个网站时,如何确保所访问的站点是真实有效的而不是别人任意伪装的?即如何信任对方正式我们所需要访问的站点。CA就是一个对站点进行认证的签证机构。当我们对某个网站发起请求时,该站点服务器就会将其CA证书发送给我们的客户机,客户机则会核实该证书是否是由客户机信任的CA机构所签发,签名是否真实有效,证书是否过期等。 CA的签署其本质是将客户的提供的公钥进行授权,保存在自己存储中。  ...
使用openssl构建私有CA
m0_65151204的博客
03-14 220
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL由三部分组成:加密和解密库:libencrypt安全通信ssl库:libssl多用途命令行工具:openssldir = /etc/pki/CA #openssl的工做目录certs = $dir/certs # 发放证书的目录crl_dir = $dir/crl # 吊销证书目录。
本地调试,解决证书错误
u010227042的博客
02-20 1655
申请的证书,都需要验证DNS或验证网站。 本地测试无法验证了,https总是提示“证书错误”。 如何让浏览器认为本地站点是安全的,避免每次访问提示“没有加密”? 安装一个自签名证书。 1 下载openssl。 http://slproweb.com/products/Win32OpenSSL.html 到这里下载一个windows版本的(1.1.1d),有32/64位的,有正常几十M的,也有light版本3M左右的。 比如Win64OpenSSL_Light-1_1_1d.exe 就是64..
搭建CA并签发数字证书
qq_40167652的博客
06-02 3919
Openssl完成私有CA yum install openssl openssl-devel -y---完成私有软件包的安装 修改openssl.cnf配置文件 [root@CA ~]# vim /etc/pki/tls/openssl.cnf [CA_default] dir = /etc/pki/CA //CA签署工作目录 certs = $dir/certs //用户证书存放路径 certificate = $dir/my-ca.crt ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值