建立私有CA实现证书申请颁发

最新推荐文章于 2024-05-26 07:00:20 发布
最新推荐文章于 2024-05-26 07:00:20 发布
阅读量2.7k 收藏 1
点赞数
文章标签: 安全 ssl linux ca证书 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45414629/article/details/104165931
版权

CA和证书

PKI:Public Key Infrastructure 公共密钥加密体系

  • 签证机构:CA(Certificate Authority)
  • 注册机构:RA
  • 证书吊销列表:CRL
  • 证书存取库:

X.509:定义了证书的结构以及认证协议标准

  • 版本号
  • 序列号
  • 签名算法
  • 颁发者
  • 有效期限
  • 主体名称

证书类型:

  • 证书授权机构的证书
  • 服务器证书
  • 用户证书

获取证书两种方法:

  • 自签名的证书: 自已签发自己的公钥
  • 使用证书授权机构:
  • 生成证书请求(csr)
  • 将证书请求csr发送给CA
  • CA签名颁发证书

TLS 介绍

SSL:Secure Socket Layer,TLS: Transport Layer Security
1995:SSL 2.0 Netscape 开发
1996:SSL 3.0
1999:TLS 1.0
2006:TLS 1.1 IETF(Internet工程任务组) RFC 4346
2008:TLS 1.2 当前主要使用
2015:TLS 1.3

功能:
机密性
认证
完整性
重放保护

SSL/TLS组成

  • Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换
  • ChangeCipherSpec 协议:一条消息表明握手协议已经完成
  • Alert 协议:对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
  • Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等

TLS实现过程

实现分为握手阶段和应用阶段

  • 握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MasterSecret生成
  • 应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

目前密钥交换 + 签名有三种主流选择

  • RSA 密钥交换、RSA 数字签名
  • ECDHE 密钥交换、RSA 数字签名
  • ECDHE 密钥交换、ECDSA 数字签名

HTTPS

HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL”或“HTTP over TLS”,对http协议的文本数据进行加密处理后,成为二进制形式传输

  1. 客户端发起HTTPS请求
    用户在浏览器里输入一个https网址,然后连接到服务器的443端口。
  2. 服务端的配置
    采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是
    自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹
    出提示页面。这套证书其实就是一对公钥和私钥。
  3. 传送服务器的证书给客户端
    证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等。
  4. 客户端解析验证服务器证书
    这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等
    等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一
    个随机值。然后用证书中公钥对该随机值进行非对称加密。
  5. 客户端将加密信息传送服务器
    这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端
    的通信就可以通过这个随机值来进行加密解密了。
  6. 服务端解密信息
    服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值
  7. 服务器加密信息并发送信息
    服务器将数据利用随机值进行对称加密,再发送给客户端
  8. 客户端接收并解密信息
    客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容。

openssl命令

两种运行模式:
交互模式
批处理模式

三种子命令:
标准命令
消息摘要命令
加密命令

[root@centos8 ~]#openssl version
OpenSSL 1.1.1 FIPS  11 Sep 2018
[root@centos8 ~]#openssl
OpenSSL> help
Standard commands
asn1parse         ca               ciphers           cms               
crl               crl2pkcs7         dgst             dhparam           
......       
OpenSSL> ca --help
Usage: ca [options]
Valid options are:
-help                   Display this summary
-verbose               Verbose output during processing
-config val             A config file
......
OpenSSL>q

openssl命令对称加密:

工具:openssl enc, gpg
算法:3des, aes, blowfish, twofish
enc命令:帮助:man enc #对称加密

[root@centos7|~]#cp /etc/fstab .
[root@centos7|~]#ls
2.sh             fstab                 公共  视频  文档  音乐
anaconda-ks.cfg  initial-setup-ks.cfg  模板  图片  下载  桌面
#加密
[root@centos7|~]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cipher      
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
[root@centos7|~]#ls
2.sh             fstab         initial-setup-ks.cfg  模板  图片  下载  桌面
anaconda-ks.cfg  fstab.cipher  公共                  视频  文档  音乐
[root@centos7|~]#cat fstab.cipher 
U2FsdGVkX1+rUiNa6ZVGRdNyQzcIY+F72pwOq3iXqYFmEKpJiNPENQUyj7X2DvDy
nQT5MZhF3IKC4TkXp91OdhBIBHtiRn+M4qp2WWQcg1f/ThF5TeOOMDMaAab/3FCO
OAiQ1H4X5hnQP0nn+YUZyDmI+oW57Et9U31MJs5EE4tYoiTB3zlNBeeYUen2i4DM
iZxiCKBC+fAq0NXWWFlL9mc7u

#解密:
[root@centos7|~]#openssl enc -d -des3 -a -salt –in fstab.cipher -out fstab2

openssl命令单向加密

工具:openssl dgst 摘要,实现各种哈希算法
算法:md5sum, sha1sum, sha224sum,sha256sum…
dgst命令:帮助:man dgst

[root@centos7|~]#openssl dgst -md5 fstab
MD5(fstab)= 00724aa3987a2a0c7afb6f79dbaa2655
[root@centos7|~]#openssl dgst --sha512 fstab

openssl命令生成用户密码

passwd命令:帮助:man sslpasswd

[root@Centos8|13|~]#openssl passwd -6
Password: 
Verifying - Password: 
$6$bBWPPgoJtrl0ITPM$I5vQ9av3R0aLsJwf.3ACKCrQtB4mez5CirVfRob2BSdnOMxfWoUGleXUvMCrbg4VIlHzVDRdmLSfC7COHKjUn1

bBWPPgoJtrl0ITPM 盐

[root@Centos8|14|~]#openssl passwd -6 -salt "centos"

[root@Centos8|14|~]#getent shadow lin
lin:$6$a72OU1Cubg6Y6Xy7$pL4LfPkxmbASRs7boWmWwUrHEPnnZAmr9yP9D4rWaqEJVLc/U0JzC64gAtDkawaDF.YSN7E9TI/.KQIfqkkTN.' 
[root@Centos8|16|~]#useradd -p '$6$a72OU1Cubg6Y6Xy7$pL4LfPkxmbASRs7boWmWwUrHEPnnZAmr9yP9D4rWaqEJVLc/U0JzC64gAtDkawaDF.YSN7E9TI/.KQIfqkkTN.' li
生成的li用户和lin密码相同

openssl命令生成随机数:

随机数生成器:伪随机数字,利用键盘和鼠标,块设备中断生成随机数
/dev/random:仅从熵池返回随机数;随机数用尽,阻塞
/dev/urandom:从熵池返回随机数;随机数用尽,会利用软件生成伪随机数,非阻塞

帮助:man sslrand

openssl rand -base64|-hex NUM
NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2

[root@Centos8|19|~]#openssl rand -base64 3
WIIl
[root@Centos8|20|~]#openssl rand -base64 3
GbqR
[root@Centos8|21|~]#openssl rand -base64 3
x/6N
[root@Centos8|22|~]#openssl rand -base64 3
gxkA

生成随机口令:

方法一
[root@Centos8|51|~
最低0.47元/天 解锁文章
你是遥远的星河
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
部署私有CA实现https网站最佳实践
04-21
部署私有CA实现https网站最佳实践,很不错可以,可以实践
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
11-29
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
Linux安全机制之文件加密解密
武溪嵌人
03-13 1117
http://www.linuxidc.com/Linux/2015-05/117253.htm 【何为加密解密】     加密:就是把明文转换成密文的过程,是使用某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。     解密:就是把密文转换成明文的过程,授权用户通过使用与密文加密相对应的算法转译出明文。 【常用
BlackBerry平台加密安全机制(Crypto API)
BerryMatrix专栏
07-23 4852
RIM Crypto API Goals •Confidentiality (保密性)为机密,敏感数据加密 (Encryption),解密 (Decryption)•Integrity (完整性)加密数据有可能被更改,比如银行存款数额,账号等,造成数据不完整。维护数据完整性的通过Hash算法实现,比如Digest, MAC•Authentication (鉴证)数据的来源或用户身份也可能被更改,这时就需要认证来检测。常用的认证方法包括: Digital Signature, Digital Certific
如何为个人网站部署SSL安全证书,以实现网站的 HTTPS 加密协议访问?
最新发布
qq_56999608的博客
05-26 1268
哈喽,大家好呀!这里是码农后端。完成了域名的备案与解析后,就可以通过域名来访问我们的网站了。本篇将介绍如何为我们的网站部署SSL安全证书实现网站的 HTTPS 加密协议访问。1、购买SSL证书未进行SSL证书部署,访问网站会显示不安全字样,如下。为了解决这一问题,就需要为网站配置SSL证书,可以上阿里云或腾讯云官网上购买,或使用免费版的,这里介绍使用阿里云进行购买部署。登录阿里云官网,搜索SSL...
证书颁发的具体实现过程
weixin_33922670的博客
03-04 400
证书组成部分: owner(拥有者):证书所属用户的身份信息和公钥; issue (发证机构):发证机构的签名和发证机构的信息; Period of Vailidity 有效期限 类型:证书颁发机构所发的证书 服务器(自签名证书证书 目前使用广泛的证书格式X.509 如何生成一个证书? 1 作为一个申请者,要先生成一个密钥(公钥...
CA是如何颁发证书
weixin_34026276的博客
03-07 1665
证书的生成 我们在上篇博客里提到,要获得对方信任的公钥,就要通过CA颁发证书证书里通常包含如下信息: 证书持有者的信息, CA的相关信息 证书的使用说明 公钥 ...
网络信息安全各种加密机制的关系
caomiao2006的专栏
04-03 2232
仅从技术方面剖析: 1、https本质上是在Browser和WebServer之间建立加密的通信链路,以确保所有的信息都是加密传输的。如果SSL证书是verisign等内置在IE浏览器内的信任证书企业所签发的,那么表示该网站可信,防止钓鱼。 2、https可以对客户的身份进行认证码?默认是不可以的,但可以通过给客户端配置软证书(.pfx,p12)来实现对客户身份的认证功能,但是由于软证书、难维
CA私有颁发机构配置.pdf
11-12
最后,私有CA使用自己的私钥对服务器的证书请求进行签名,生成服务器的最终证书。这个过程通常不直接在上述步骤中显示,但可以通过`openssl x509`命令完成。签名后的证书会替换`web.crt`或类似文件,然后在服务器上...
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
搭建一个私有CA,使用到不同组件中,并进行测试。 博客会有最新版https://blog.csdn.net/u013256012/article/details/103583868 如果只是1个tomcat服务和浏览器之间使用HTTPS,那么只需要在tomcat的密码库添加...
java根证书认证实现https访问
01-04
当使用自签名证书私有CA签发的证书时,Java默认不会信任这些证书,因此需要进行额外的配置。 以下是一步步实现Java根证书认证的过程: 1. **创建根证书**:使用OpenSSL等工具生成自签名根证书。这涉及到生成私钥...
免费CA证书系统
10-25
一个免费的开源的CA 证书签发系统,仅供参考和学习使用
建立私有CA,并实现颁发证书
weixin_33743248的博客
01-24 673
建立私有CA,并实现颁发证书 [root@centos7 ~]#rpm -q openssl //查看有没有安装openssl包 openssl-1.0.2k-16.el7.x86_64 [root@centos7 ~]#rpm -ql openssl //查看openssl包里文件 /etc/pki/CA /etc/pki/CA/certs ...
OpenSSL签发证书时编码UTF8STRING PRINTABLESTRING不匹配
健忘16的博客
02-18 4737
问题如下: Check that the request matches the signature Signature ok The countryName field is different between CA certificate (CN) and the request (CN) 可以看出,CA和REQ的DN内容是一致的,依旧报错。其实是编码的问题。 使用以下指令看编码格式: openssl asn1parse -in /etc/pki/CA/cacert.pem opens
大一学生竟然这样学C语言结构?
qq_45969772的博客
05-15 783
9.1 输出平均分最高的学生信息 结构9.1.1 程序解析9.1.1 程序解析9.1.2 结构的概念和定义9.1.3 结构的嵌套定义9.1.4 结构变量的定义和初始化(1).单独定义(2).混合定义(3).无类型名定义9.1.5 结构变量的使用(1).结构变量的引用(2).结构变量的整体赋值(3).结构变量作为函数参数 9.1.1 程序解析 9.1.1 程序解析 9.1.2 结构的概念和定义 9.1.3 结构的嵌套定义 9.1.4 结构变量的定义和初始化 (1).单独定义 (2).混合定义 (3).无类型名
什么是 SSL 证书
apple_csdn的博客
03-30 2380
SSL 证书的介绍、作用、组成、类型、原理
在CentOS8上实现私有CA证书申请
y_zilong的博客
04-26 3487
私有CA创建的参看配置文件 /etc/pki/tls/openssl.cnf [root@y_zilong ~]# cat /etc/pki/tls/openssl.cnf [ CA_default ] dir = /etc/pki/CA # 所有证书存放的目录 certs = $dir/certs # 证书的位置 crl_dir = $dir/crl # 吊销证书的位置 database = $dir/index.txt # 数据库索引文件 #unique_subject = n.
什么是SSL证书SSL证书的原理和作用是什么?
weixin_53018687的博客
12-08 1119
SSL证书就是遵守SSL协议的一种数字证书,与身份证、营业执照之类的身份证明类似,而SSL证书的证明对象是web服务器,SSL证书由全球信任的证书颁发机构验证服务器身份后进行颁发,以实现对网站身份验证和数据加密传输的效果。这是网站安装SSL证书的最主要目的,安装SSL证书后,就可以在客户端浏览器与网站服务器之间建立起一条加密通道,实现对传输数据的加密处理,从而确保用户一些敏感信息不被监听和窃取。而安装了SSL证书,可以对网站身份信息进行核验,杜绝钓鱼网站对流量的劫持。3.增加用户对网站的信任度。
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 6974
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名根证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建了一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值