搭建私有CA及证书的申请与授权

最新推荐文章于 2024-05-16 03:45:56 发布
最新推荐文章于 2024-05-16 03:45:56 发布
阅读量786 收藏
点赞数
分类专栏: Linux笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40343772/article/details/90115837
版权
基本概念

当我们访问一个网站时,如何确保所访问的站点是真实有效的而不是别人任意伪装的?即如何信任对方正式我们所需要访问的站点。CA就是一个对站点进行认证的签证机构。当我们对某个网站发起请求时,该站点服务器就会将其CA证书发送给我们的客户机,客户机则会核实该证书是否是由客户机信任的CA机构所签发,签名是否真实有效,证书是否过期等。
CA的签署其本质是将客户的提供的公钥进行授权,保存在自己存储中。

证书申请、签署基本流程

1、生成申请证书
2、RA(注册机构)核验
3、CA(签证机构)签署
4、获取证书

除此之外,还要CA进行自签证,即声明一个私有CA。具体流程如下:
1、CA自签证

# cd /etc/pki/CA
# touch index.txt	#
# echo 01 > serial	#签证序号,每签一个证书其序列号会增1
# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)	#生成密钥文件
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem    #申请并自签证
	选项说明:
	-new:生成证书申请请求
	-x509:签署证书,仅用于自签证
	-key:知名证书申请的密钥文件
	-days:证书有效期
	-out:生成证书保存路径
	随后的对话框依次填入信息:
		国家(2字符)
		省名
		市名
		公司名
		部门名
		服务器名称
		邮箱地址
		申请文件加密密码(两次),可不输入

2、客户发起证书申请

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)	#客户端生成key
# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr    #生成请求证书
注:这是私有CA,因此客户申请的公司名称要与CA公司名称保持一致
将证书申请发送给CA

3、RA审核通过,CA签证

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
	-in:指定证书申请文件
	-out:生成已签证证书(.crt)
	-days:签署证书有效期

4、客户获取已签证的证书

注:查看证书信息命令:

# openssl x509 -in /CRT_FILE -noout -text|-subject|serial

证书吊销

1、客户端将自己证书的serial和subject信息提交给CA

# openssl x509 -in /CRT_FILE -noout -subject	#查看自己证书的serial和subject信息

2、CA审核该信息并与index.txt中内容对比,对比无误后吊销证书

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem	#每签署一个证书时会在newcerts目录下得到一个以 序列号.pem 命名的文件

3、后续工作
    生成吊销证书编号:如# echo 01 >/etc/pki/CA/crlnumber
    更新吊销列表:# openssl ca -gencrl -out thisca.crl

矿泉水牌娃哈哈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建私有CA
sxy2475的博客
09-09 2535
搭建私有CA 搭建私有CA 前言 什么是CA 什么是CA证书 获取CA证书两种方法 opensslcnf文件 搭建CA认证中心 申请证书 颁发证书 吊销证书 前言 什么是CA CA是Certificate Authority的缩写,也叫“证书授权中心”。 在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到
构建私有CA 机构
qfxulei的博客
08-05 790
CA中心申请证书的流程: 过程: 1。web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2。web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件
2024年网络安全最新现代密码学-CA与数字证书详解_caca证书(2),2024年最新网络安全基础开发入门(1)
最新发布
2401_84968582的博客
05-16 851
证书类似现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片)绑定在一起。个人身份证是由国家权威机关(公安部)签发的,该证件的有效性和合法性是由权威机关的签名或签章保障的,因此身份证可以用来验证持有者的合法身份的信息,称为身份鉴定。数字证书也称为公钥证书,是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心(简称CA)对该证书的签名。
构建私有CA
Ghoy的博客
09-10 1633
前言什么是CACA是Certificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书CA证书也是数
私有CA搭建
weixin_42243133的博客
05-02 222
1、创建CA所需要的文件 生成证书索引数据库文件 touch /etc/pki/CA/index.txt 指定第一个颁发证书的序列号 1235 echo 01 > /etc/pki/CA/serial 查看证书内容 [root@centos880 CA]# openssl x509 -in zhengshu -noout -text 生成CA私有密钥于/etc/pki/CA/private openssl genrsa -out private/cakey.pem 2048 为CA自己颁
搭建bc私有云安全挑战与实战
02-25
私有云为企业各个业务部门提供统一服务,不仅仅包括计算资源、存储资源、网络资源,还应该包括安全资源,如身份认证、病毒查杀、入侵检测、行为审计等,只分配了计算资源与存储资源的系统,对用户来讲,无异于“裸奔...
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
此时,通过搭建私有CA,可以更高效地管理和分发证书,使得每个服务只需信任CA即可,简化了配置流程。 以下是如何搭建私有CA并应用于Tomcat和Springboot的步骤: 1. **创建CA中心**: 在一个专门的服务器(如...
一步一步教你搭建私有
03-02
在维持原有预算水平不变的前提下改进IT业务的最好方法就是搭建一个私有云架构。基于云的应用交付正逐步演变成为IT行业发展的必然趋势。要想对IT部门和企业的业务流程进行重新架构来满足内部云服务的交付将会耗费几年...
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers不仅提供了一个中央仓库,同时也允许我们使用registry搭建本地私有仓库。 使用私有仓库有许多优点: 节省网络带宽,针对于每个镜像不用每个人都去中央仓库上面去下载,只需要从私有仓库...
CA搭建申请
weixin_34408717的博客
09-18 169
引入 A和B使用非对称加密方法加密数据进行通讯,则双方均需要知道对方的公钥。若A得到一个声称为B的公钥后,不进行检查就用该公钥加密数据,然后传输,而该公钥实际上是***C的公钥,那么就只有***C的私钥才能解开数据,造成数据泄露。所以A需要对B非公钥进行检查,那么检查合格的依据是B拥有由CA颁发的证明自己身份的证书CA(Certificate Authority)...
CA证书,web搭建
12-26
里面写的是Web服务器的搭建和后续的CA证书的颁发。比较你颁发CA需要一个web网站,所以就顺便也写进去了
部署私有CA实现https网站最佳实践
04-21
部署私有CA实现https网站最佳实践,很不错可以,可以实践
CA Certificate
01-09
Security in Networked Computed System OpenSSL Lab Session#6 Certificate Management
搭建私有CA证书认证
weixin_33905756的博客
01-24 190
/etc/pki/tls/openssl.cnf部分内容生成私钥, 证书自签名 查看证书centos6 生成秘钥和公钥,发送公钥给centos7 申请证书centos7 签发证书,回传给centos6(比较两个文件,其实内容是一样的,名字不一样)win下 把cacent.crt 加入根证书机构 ,打开app.crt看到证书已经生效 转载于:https://blog...
构建私有CA 机构(拓展)
PercyXuBiao的博客
08-02 457
过程1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)2、web服务器使用web私钥生成web服务器的证书请求文件,并将证书请求发给CA服务器3、CA服务器使用CA的私钥对web服务器的证书请求进行数字签名得到web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书CACA的数字签名等信息。通常以.csr为后缀,是网站向CA发起认证请求的文件,是中间文件。...
搭建私有CA,并颁发证书
木子甘
09-26 884
步骤一、创建所需要的文件所有的有关设置都在 /etc/pki/tls/openssl.cnf 内有相应设置和描述1.生成的证书索引的数据库文件(CA端) 默认不存在 touch /etc/pki/CA/index.txt2.下一个生成证书的索引编码(CA端)echo 01 > /etc/pki/CA/serial二、CA自签证书(CA端)1.生成私钥(CA端)(umask 066 ; ope
创建私有CA证书申请
心之所向,不负初衷
09-10 2163
一、OpenSSL:CA默认配置信息openssl 配置文件:/etc/pki/tls/openssl.cnf该配置文件中以 “[配置段]”,的形式配置相关信息======================openssl.cnf部分配置信息============================================== 和CA相关的配置文件,可修改 ##################
创建私有CA,我就用openSSL
程序那些事
07-21 655
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值