CA私有证书中心

最新推荐文章于 2024-05-10 14:59:48 发布
最新推荐文章于 2024-05-10 14:59:48 发布
阅读量325 收藏
点赞数
分类专栏: cas证书中心 文章标签: ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39122260/article/details/118101715
版权

CA服务端

  1. 安装CA认证软件包中心(linux默认安装了):

    rpm -qf `which openssl `

    yum -y install openssl-1.0.2k-8.el7.x86_64

  2. 修改配置文件

    vim /etc/pki/tls/openssl.cnf
#家目录
dir     = /etc/pki/CA
#认证证书目录
certs       = $dir/certs
#注销证书目录
crl_dir     = $dir/crl
#数据库索引文件
database    = $dir/index.txt
#新证书的默认位置
new_certs_dir   = $dir/newcerts
#CA机构证书
certificate = $dir/cacert.pem
#当前序号,默认为空,可以指定从01开始
serial      = $dir/serial
#下一个吊销证书序号
crlnumber   = $dir/crlnumber
#下一个吊销证书
crl     = $dir/crl.pem
#CA机构的私钥
private_key = $dir/private/cakey.pem
#随机数文件
RANDFILE    = $dir/private/.rand
#有效期天数
default_days    = 365
#让自己成为CA认证中心
basicConstraints=CA:TRUE

  3. 生成CA的公钥证书和私钥

    /etc/pki/tls/misc/CA
    -newcert 新证书
    -newreq 新请求
    -newreq-nodes 新请求节点
    -newca 新的CA证书
    -sign 签证
    -verify 验证

    /etc/pki/tls/misc/CA -newca
	#ca密码
	Enter PEM pass phrase:123456
	#ca密码,再次输入确认
	Verifying - Enter PEM pass phrase:123456
	#上面是CA认证中心信息
	#国家
	Country Name (2 letter code) [XX]:CN
	#省份
	State or Province Name (full name) []:guangdong
	#城市
	Locality Name (eg, city) [Default City]:guangzhou
	#组织
	Organization Name (eg, company) [Default Company Ltd]:yxhj
	#组织单位
	Organizational Unit Name (eg, section) []:yxhj
	#通用名(域名)
	Common Name (eg, your name or your server's hostname) []:damowang.cn
	#企业邮箱
	Email Address []:454263577@qq.com
	#添加一个额外的属性,让客户发送CA证书时需要输入密码
	A challenge password []:回车
	An optional company name []:回车
	#输入ca密码
	Enter pass phrase for /etc/pki/CA/private/./cakey.pem:123456

    文件信息
    /etc/pki/CA/cacert.pem #CA根证书公钥
    /etc/pki/CA/private/cakey.pem #公证书的私钥

    #吊销的证书存放目录 /etc/pki/CA/crl/
    #存放CA签署(颁发)过的数字证书(证书备份目录) /etc/pki/CA/newcerts/
    #用于存放CA的私钥 /etc/pki/CA/private/

客户端

  1. 生成一个私钥密钥(此时还没有生成公钥):

    openssl genrsa -des3 -out ./server.key		#参数:-des3,加密	一下私钥
	#输入私钥密码
	Enter pass phrase for ./server.key:qwerty
	#确认输入私钥密码
	Verifying - Enter pass phrase for ./server.key:qwerty

  2. 使用私钥生成证书请求文件

    #注意后期添加的国家,省,组织等信息要和CA保持一致
openssl req -new -x509 -key ./server.key -days 天数 -out  /server.csr  
	#输入私钥的密码
	Enter pass phrase for /etc/httpd/conf.d/server.key:qwerty  
	#ca中的国家
	Country Name (2 letter code) [XX]:CN
	#ca中的省份
	State or Province Name (full name) []:guangdong
	#ca中的城市
	Locality Name (eg, city) [Default City]:guangzhou
	#ca中的组织
	Organization Name (eg, company) [Default Company Ltd]:yxhj
	#ca中的组织单位
	Organizational Unit Name (eg, section) []:yxhj
	#客户端网站的域名
	Common Name (eg, your name or your server's hostname) []:www.cxk.com
	#企业邮箱
	Email Address []:454263577@qq.com
	A challenge password []:回车
	An optional company name []:回车

  3. 将证书请求文件发给CA服务器

    scp ./server.csr 192.168.1.63:/tmp/

  4. (ca服务端操作)服务端CA签名:

    openssl ca -keyfile /etc/pki/CA/private/cakey.pem -cert  /etc/pki/CA/cacert.pem -in ./server.csr -out ./server.crt -days 天数 
	#CA密码
	Enter pass phrase for /etc/pki/CA/private/cakey.pem:123456
	 #证书有效期是365天。证书进行认证,直到12月21日十四时25分53秒格林尼治标准时间2015年(365天)
	Certificate is to be certified until Dec 21 14:25:53 2015 GMT (365 days)  
	#注册证书
	Sign the certificate? [y/n]:y   
	#确认
	1 out of 1 certificate requests certified, commit? [y/n]y

  5. (ca服务端操作)CA认证中心进行颁发证书给客户端

    scp /server.crt 192.168.1.64:/

吊销证书

  1. (客户端操作)根据请求文件获取要吊销的证书的serial

    openssl x509 -in ./test.crt -noout -serial -subject

  2. (Ca服务端操作)根据客户提交的serial与subject信息,对比检验是否与index.txt 文件中的信息一致,一致吊销证书

    openssl ca -revoke /etc/pki/CA/newcerts/01.pem

  3. (Ca服务端操作)CA更新证书吊销列表

    openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
#查看crl文件
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

欢迎朋友们相互交流可以加我vx: CXKLittleBrother
进入运维交流群

含义小哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
缺少ssl证书【最简单的方法】
weixin_44706754的博客
04-16 1700
首先找到并下载 cacert.pem文件 这是我自己用的,也可以去官网下载,后面发网址 链接:https://pan.baidu.com/s/1GI8YUT2gCoQN92k3wePnxQ 提取码:y9zk 复制这段内容后打开百度网盘手机App,操作更方便哦 没有网盘可用微信扫一扫 配置步骤 下载好的文件放到PHP的目录下,和php.exe同级目录 修改php.ini文件的openssl.ca...
私有CA部署1
08-04
私有CA部署的配置文件是openssl.cnf文件,该文件用于定义私有CA的配置参数,包括证书颁发机构的名称、证书请求的生成方式、证书数据库的位置等。 4. 私有CA部署的优点 私有CA部署有以下优点: * 高效:私有CA可以...
php使用curl访问https示例分享
我不会编程,但不是完全不会,我会一点点
03-24 968
curl是利用URL语法在命令行方式下工作的开源文件传输工具,下面介绍一下php使用curl访问https的示例,大家参考使用吧 为方便说明,先上代码吧 复制代码代码如下: /**   * curl POST   *   * @param   string  url   * @param   array   数据   * @param  
建立私有CA颁发证书
最新发布
邢宇宇的博客
05-10 191
CSR(证书签名请求 Certificate Signing Request):CSR是一种数据文件,用于向证书颁发机构(CA)请求数字证书。当你希望在服务器上启用SSL/TLS加密连接时,你需要生成一个CSR文件并将其发送给CA。CSR包含了与证书相关的信息,如公钥、组织名称等。CA使用CSR来验证你的身份,并为你签发相应的数字证书。在公钥基础设斯(PKI)中,CSR是由证书申请者生成的文件,用于向证书颁发机构(CA)请求签发数字证书
解决证书信任问题:各种环境导入SSL证书
二歪的防痴呆笔记
06-15 2666
当服务端的SSL证书(下称:My证书)使用的是自签名证书、或者是证书兼容性较差,在客户端或API调用方(角色相当于是客户端)的中没有包含信任My证书证书签发机构证书时,客户端可能出现报错,浏览器提示此网站的安全证书存在问题,用户可通过选择“继续浏览此网站”访问网站,影响使用体验。如果服务器端出现这个问题,接口直接无法调用,业务将受到影响。
cacert.pem是怎么来的
m0_37477061的博客
06-29 8833
小弟最近在搞支付宝支付接口,碰到个问题,help……我看demo中有下面一行代码:PHP code?123//ca证书路径地址,用于curl中ssl校验//请保证cacert.pem文件在当前文件夹目录中$alipay_config['cacert']    = getcwd().'\\cacert.pem';查了很久也没说这个cacert.pem是怎么来的,头疼啊啊啊啊啊啊啊 各位大哥,知道的给...
【Bug解决】curl: (77) error setting certificate verify locations: CAfile: ..ssl/cacert.pem
学习 & 分享 ~
03-23 5318
报错内容: curl: (77) error setting certificate verify locations: CAfile: /data/usr/local/anaconda/ssl/cacert.pem CApath: none
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
搭建一个私有CA,使用到不同组件中,并进行测试。 博客会有最新版https://blog.csdn.net/u013256012/article/details/103583868 如果只是1个tomcat服务和浏览器之间使用HTTPS,那么只需要在tomcat的密码库添加...
CA私有颁发机构配置.pdf
11-12
以下将详细阐述如何配置一个CA私有颁发机构,以及如何生成服务器证书。 首先,配置PCA需要安装必要的软件包。在示例中,我们看到`apt -y install openssl`命令被用来在Linux系统(可能是Ubuntu或Debian)上安装...
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
11-29
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
privateCA:一个docker-compose存储库,使用标准的OpenSSL和Node-Red接口包装器提供本地私有证书颁发机构(CA
04-06
私人CA 一个由docker-compose组成的存储库,该存储库使用OpenSSL和Node-Red包装器接口提供私有证书颁发机构(CA)。 主要目的是为CA提供其他服务器使用的API,以自动执行证书签名。 仪表板可用于手动签署CSR(证书...
基于openssl的单向和双向认证
zhanglei_admin的博客
07-27 2754
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl的认证认证流程需要熟悉一下。SSL
CACert:免费的数字证书组织
wuwenlong527的专栏
10-18 4390
source:http://www.cnbeta.com/articles/31501.htm 众所周知,在中国想给自己申请一份电子邮件证书或者给自己的网站、服务器申请一个SSL证书是很不容易的,你每年都得给CA证书颁发验证组织)缴纳不少的证书申请费。每个网民都能拿到数字证书那是可望不可即的……但是现在不同了,我们有了CAcert。国外一个免费的数字证书颁发组织,你可以免费注册成为用
OpenSSL实验:用CA证书 cacert.pem为IIS请求certreq.txt签发证书server.pem时出错(2)
xcyja的博客
05-24 475
报错信息: OpenSSL> ca -in certreq.txt -out server.pem -config C:\openssl\openssl.cnf Using configuration from C:\openssl\openssl.cnf Loading 'screen' into random state - done Enter pass phrase for ./demoCA/private/cakey.pem: certreq.txt: No such file or dir
Linux 下Nginx SSL/HTTPS 配置
Software Architect
03-21 3783
使用OpenSSL生成证书1、生成RSA密钥的方法openssl genrsa -des3 -out privkey.pem 2048 这个命令会生成一个2048位的密钥,同时有一个des3方法加密的密码,如果你不想要每次都输入密码,可以改成:openssl genrsa -out privkey.pem 2048  建2、生成一个证书请求建议用2048位密钥,少于此可
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
OpenSSL建立自己的CA
inter999的专栏
10-29 2063
(1) 环境准备首先,需要准备一个目录放置CA文件,包括颁发的证书和CRL(Certificate Revoke List)。这里我们选择目录 /opt/ca。然后我们在/opt/ca下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙。CA的私钥匙很重要,至少需要2048位长度。建议保存在硬件里,或者至少不要放在网络中。除了生
HTTPS 实现
碧海潮生
12-29 2136
HTTPS 实现 HTTPS 介绍 HTTPS 简史 HTTPS 工作流程 搭建https服务 首先确认安装OpenSSL 自建CA 创建服务器公私钥 使用 CA key 对服务器证书签名 搭建https工程 参考 HTTPS 介绍 HTTPS 简史 在早期HTTP诞生的这几年间,1990年~·1994年,HTTP作为一个应用层协议,它是这样工作的: 后来网景公司开发了SSL(Secure Sockets Layer)技术,然后它就变成了这样的HTTP,也就是HTTPS了: 后来爆发
一文教你生成SSL自认证证书
starlooksky的博客
06-02 3976
在测试环境下,用户可以用通过以下方式进行数字证书测试。在客户的运行环境中,请使用从CA认证中心申请的数字证书
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名根证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建了一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

含义小哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值