构建私有CA和证书

最新推荐文章于 2024-09-03 23:56:30 发布
最新推荐文章于 2024-09-03 23:56:30 发布
阅读量349 收藏 4
点赞数 10
分类专栏: Server 文章标签: https CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59671942/article/details/141871469
版权

一、准备

两台虚拟机

192.168.252.148 CA

192.168.252.149 客户端

二、构建私有CA

192.168.252.148 CA

安装openssl

1.检查是否存在
rpm -qa openssl
2.安装或者更新openssl
yum install openssl openssl-devel -y

查看CA相关配置

/etc/pki/tls/openssl.cnf这个文件是CA的配置文件。

此文件对于是证书签署者的身份会使用到此文件

此文件对于证书的申请者的身份是无用的。

根证书服务器目录:

根CA服务器:/etc/pki/CA 192.168.252.148

网站服务器:/etc/pki/tls 192.168.252.149

查看文件
cat  /etc/pki/tls/openssl.cnf

创建所需文件

cd /etc/pki/CA/
ls
certs  crl  newcerts  private

1.创建生成证书索引数据库文件
touch index.txt
2.指定第一个颁发证书的序列号
echo 01 > serial

ls
certs  crl  index.txt  newcerts  private  serial

创建秘钥

1.使用openssl创建秘钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)

Generating RSA private key, 2048 bit long modulus
.....................+++
...............................+++
e is 65537 (0x10001)

2.在private中查看
ls private/
cakey.pem

生成自签名的证书

根CA自签名证书,根CA是最顶级的认证机构,没有人能够认证他,所以只能自己认证自己生成自签名证书。

1.生成自签名证书通过秘钥
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem -days 7300

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                         //签发国家  
State or Province Name (full name) []:BEIJING                //签发省份
Locality Name (eg, city) [Default City]:BEIJING              //签发城市
Organization Name (eg, company) [Default Company Ltd]:CA     //签发公司
Organizational Unit Name (eg, section) []:OPT                //签发部门
Common Name (eg, your name or your server's hostname) []:www.syh.com   //签发域名
Email Address []:3146359748@qq.com                           //签发邮件                         

2.查看文件
ls
cacert.pem  certs  crl  index.txt  newcerts  private  serial

参数解释:

-new 			生成新证书签署请求
-x509 		专用于CA生成自签证书
-key 			生成请求时用到的私钥文件
-days 		证书的有效期限
-out 		 	证书的保存路径

下载安装证书

yum install -y lrzsz
sz /etc/pki/CA/cacert.pem

以谷歌浏览器为例:

点击设置

点击安全和隐私

向下滑

找到证书管理会出现一个弹窗

导入刚才上传电脑的证书

根据向导导入证书

导入刚才上传的证书

完成

三、服务器端进行CA证书申请和签名

192.168.252.149 客户端

安装openssl

1.检查是否存在
rpm -qa openssl
2.安装或者更新openssl
yum install openssl openssl-devel -y

生成私钥文件

1.生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/www.syh.com.key 2048)

Generating RSA private key, 2048 bit long modulus
...........................................................................................+++
.....+++
e is 65537 (0x10001)

2.查看私钥
ls /etc/pki/tls/private/
localhost.key  www.syh.com.key

私钥加密生成证书

1.私钥加密生成证书
openssl req -new -key /etc/pki/tls/private/www.syh.com.key -days 365 -out /etc/pki/tls/www.syh.com.csr

ww.syh.com.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BEIJING
Locality Name (eg, city) [Default City]:BEIJING
Organization Name (eg, company) [Default Company Ltd]:CA
Organizational Unit Name (eg, section) []:OPT
Common Name (eg, your name or your server's hostname) []:www.syh.com
Email Address []:3146359748@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

//此处的信息要一定与在生成自签名的证书的信息一致

2.查看证书的生成
ls  /etc/pki/tls/
cert.pem  certs  misc  openssl.cnf  private  www.syh.com.csr

四、证书签署

客户端的证书传输到CA端上

传输这个证书/etc/pki/tls/www.qf.com.csr到CA端

192.168.252.149:
cd  /etc/pki/tls/
scp  www.syh.com.csr  192.168.252.148:/etc/pki/CA/private

192.168.252.148:
cd /etc/pki/CA/private
ls
cakey.pem  www.syh.com.csr

证书签署

1.修改配置文件/etc/pki/tls/openssl.cnf,修改organizationName=supplied

192.168.252.148:
1.编辑配置文件
vim /etc/pki/tls/openssl.cnf
/organizationName搜索这个
找到这个模块修改:
# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = supplied
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

2.CA签署

192.168.252.148:
1.签署证书
openssl ca -in /etc/pki/CA/private/www.syh.com.csr -out /etc/pki/CA/certs/www.syh.com.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf


Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Sep  3 12:09:17 2024 GMT
            Not After : Sep  3 12:09:17 2025 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BEIJING
            organizationName          = CA
            organizationalUnitName    = OPT
            commonName                = www.syh.com
            emailAddress              = 3146359748@qq.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                FA:A5:D7:6B:7D:8A:C2:BA:06:BA:7B:DF:71:35:40:5E:A1:AF:3A:F1
            X509v3 Authority Key Identifier: 
                keyid:AF:0C:F8:02:B7:C0:51:E3:B7:AB:3A:A0:15:EE:0A:39:8A:03:AB:6A

Certificate is to be certified until Sep  3 12:09:17 2025 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

2.查看证书
ls /etc/pki/CA/certs/
www.syh.com.crt

发送签署后的证书

192.168.252.148:
1.发送证书
cd /etc/pki/CA/certs/
scp www.syh.com.crt 192.168.252.149:/etc/pki/CA/certs/

192.168.252.149:
1.查看证书
ls /etc/pki/CA/certs/
www.syh.com.crt

五、测试

证书文件和密钥文件

证书文件路径:
/etc/pki/CA/certs/www.syh.com.crt
密钥文件路径:
/etc/pki/tls/private/www.syh.com.key

配置Nginx配置文件

1.编辑配置文件:
vim /etc/nginx/conf.d/nginx_ca.conf

server {
        listen       443 ssl;
        server_name  www.syh.com;

        ssl_certificate      /etc/pki/CA/certs/www.syh.com.crt;                 #指定证书路径
        ssl_certificate_key  /etc/pki/tls/private/www.syh.com.key;              #指定私钥路径
        ssl_session_timeout  5m;                                                #配置用于SSL会话的缓存
        ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;  							#如果出现无法访问的连接就将此注释注释掉
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #密码指定为OpenSSL支持的格式
        ssl_prefer_server_ciphers   on;                                         #设置协商加密算法时,优先使用服务端的
加密,而不是客户端浏览器的。

        location / {
                root /jump/html;
                index index.html index.htm;
        }
}

2.创建发布目录
mkdir -p  /jump/html
发布一个跳一跳

3.重启
nginx -t
systemctl restart nginx

配置windows解析

访问

https://www.syh.com

因为私有证书不受此浏览器信任所以会出现不安全的https连接

陪小七许个愿
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
构建CA证书详解过程步骤
ljc1999的博客
01-21 3757
目录一、CA中心申请证书的过程二、CA介绍三、构建私有CA1.环境:2.检查安装openSSL3.查看配置文件4.根证书服务器目录5.创建所需文件6.创建密钥7.生成自签名证书8.下载安装证书四、客户端CA证书申请及签名1.检查安装openSSL2.客户端生成密钥3.客户端用私钥加密生成证书请求4.CA服务端签署证书5.CA服务端将证书发给请求服务端6.CA服务端调整7.测试 一、CA中心申请证书的过程 1、web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2、web服务器使用 web私钥生成
局域网构建私用CA
archive_s的博客
09-05 925
CA全称Certificate Authority,也叫“证书授权中心”,是负责管理和签发证书的第三方机构。
使用openssl构建私有CA
m0_65151204的博客
03-14 216
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL由三部分组成:加密和解密库:libencrypt安全通信ssl库:libssl多用途命令行工具:openssldir = /etc/pki/CA #openssl的工做目录certs = $dir/certs # 发放证书的目录crl_dir = $dir/crl # 吊销证书目录。
构建私有CA 机构(拓展)
PercyXuBiao的博客
08-02 463
过程1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)2、web服务器使用web私钥生成web服务器的证书请求文件,并将证书请求发给CA服务器3、CA服务器使用CA的私钥对web服务器的证书请求进行数字签名得到web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书CACA的数字签名等信息。通常以.csr为后缀,是网站向CA发起认证请求的文件,是中间文件。...
构建私有CA
Ghoy的博客
09-10 1647
前言什么是CACA是Certificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书CA证书也是数
基于centos7系统下建立私有CA证书颁发机构
Harry_z666的博客
05-07 1322
背景:公司自己内部使用的CA证书机构,可以尝试自己创建一个私有CA证书颁发机构,体验了解下CA的原理过程。 在Centos 7系统下创建CA证书机构,然后利用Centos6 模拟部分向总部申请CA证书 CA证书所在的目录以及目录的作用 其中两个文件是需要自己来创建的:框中所示 一:创建私有CA证书机构 #1.在/CA/private/目录下创建cakey.pem私钥 (umask 077;op...
Linux Nginx&HTTPS——构建私有CA认证 机构(私有ssl证书安全方案)
weixin_55985097的博客
05-13 1262
构建私有CA 机构 CA中心申请证书的流程: 过程: 1、web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2、web服务器使用 web私钥生成 web服务器的证书请求文件,并将证书请求发给CA服务器 3、CA服务器使用 CA的私钥 对 web 服务器的证书请求进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书
构建私有CA
weixin_33785108的博客
05-16 203
构建私有CA 机构 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书CACA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。 为什么要构建私有CA?因为公共 CA (比如排名前几的这几家:Comodo, Symantec, Gl...
PKI详解与openssl实现私有CA证书签发
weixin_42098322的博客
06-08 2306
参考文章:加密解密:PKI详解 加密解密技术基础 在看这篇文章之前,首先需要有加密解密的技术基础: 安全目标: 保密性:确保通信信息不被任何无关的人看到 完整性:实现通信双方的报文不丢失、数据完整性、系统完整性 可用性:通信任何一方产生的信息应当对授权实体可用 攻击类型: 威胁保密性的攻击:窃听、通信量分析 威胁完整性的攻击:更改、伪装、重放、否认 重放:攻击者能解惑双方通信的报文、并开始一遍遍发送 否认:通信双方的某一方发送的,下了订单却说没下 威胁可用性的攻击:拒绝服务(Dos) 解决方案 技术:加
构建私有CA 机构
qfxulei的博客
08-05 805
CA中心申请证书的流程: 过程: 1。web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2。web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件
部署私有CA实现https网站最佳实践
04-21
具体实施过程中,需要配置CA和Web服务器,如文章中提到的***f文件的查看、创建索引文件、生成私钥文件、生成自签证书和配置https网站的SSL相关配置。完成配置后,需要测试访问以确认HTTPS网站正常工作,这通常涉及到...
linux中构建私有CA并下载安装证书
07-27
在Linux中构建私有CA证书颁发机构)并下载安装证书,你可以按照以下步骤进行操作: 1. 生成私有CA的私钥(private key): ``` openssl genrsa -out ca.key 4096 ``` 2. 使用私钥生成自签名的CA证书...
nginx配置http转发https请求(http接口转发或者代理https接口)
AVATAR
08-30 867
在nginx中代理http的接口一搜一大把,但是利用nginx代理https开头的接口却是很少,大部分都是一些重定向操作,实际使用不了,经过很多次尝试终于解决,可以将https的接口代理到http中为前端提供服务;
域名证书,泛域名证书,sni
qq_36472340的博客
09-03 529
本文介绍了泛域名证书和全域名证书的区别和使用情况,以及sni的原理。
SSL和HTTPS是一样的吗?
DNS_1CSDN的博客
09-03 339
一是数据加密,它使用对称加密和非对称加密相结合的方式,对数据进行加密处理,使得即使数据在传输过程中被截获,也难以被破解。二是身份验证,SSL可以验证服务器的身份,确保客户端连接的是合法的服务器,防止被钓鱼网站欺骗。当我们访问一个以 “https”开头的网站时,浏览器会显示一个锁形图标,表示该网站的连接是安全的。SSL是一种具体的安全协议,而HTTPS是一种基于HTTP协议并结合了SSL/TLS协议的安全通信方式。SSL是实现HTTPS的关键技术之一,没有SSL,就无法实现HTTPS的安全通信。
HTTPS一定安全吗
wys2338的博客
08-30 994
当浏览器发起 HTTPS 请求时,需要验证域名、有效期等信息是否正确,判断证书来源是否合法,还有就是由于数据是加密的,正常情况下,抓包工具代理请求后抓到的包内容是处于加密状态,无法直接查看内容。https是一种通过计算机网络进行安全通信的传输协议,主要目的是提供对网站服务器的身份认证,保护交换数据的隐私与完整性,但不能说使用htttps就一定绝对的安全。有一点需要了解的是,使用HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。3,SSL证书需要花费,功能越强大的证书费用越高;
网络安全服务基础Windows--第15节-CAHTTPS理论
m0_65771743的博客
09-03 859
SSL 3.0(1996年发布):这是⼀个⼤幅改进的版本,修复了 SSL 2.0 中的许多漏洞,并引⼊了更强⼤的加密和消息认证机制。SSL 是由 Netscape 公司于 1990 年代早期开发的,⽬的是为互联⽹通信提供加密和身份验证,特别是在电⼦商务和在线⽀付等需要保护敏感信息的场景中。SSL 2.0(1995年发布):这是第⼀个公开发布的版本,但很快被发现存在多种安全漏洞,例如,SSL 2.0 不⽀持⾜够强⼤的加密算法,也缺乏对消息完整性的保护。CA 验证实体的身份,并为其颁发绑定特定公钥的数字证书
HTTPS 协议“加密和解密”详细介绍
m0_60462557的博客
09-03 366
本篇是对HTTPS的加密解密过程的详解。
https和harbor仓库跟k8s
最新发布
Hai990218的博客
09-03 220
https是加密的http,它的端口是443,它的协议是tcp协议。建立连接和普通的tcp是一样的,都是三次握手和四次挥手,但是它三次握手之后有一个步骤:SSL或者TLS握手的过程,这个过程是为了建立安全的加密通信通道。3. 服务端发送数字证书给客户端,数字证书包含服务器的公钥,客户端有了公钥之后,就可以确认服务器的真实身份。1. 客户端向服务端发送一个信息,包含客户端支持的SSL/TLS的协议版本、加密算法的列表、随机数等等。4. 密钥交换:服务端和客户端协商一个对称加密的密钥,用于后续的加密通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值