openssl实现私有CA

最新推荐文章于 2023-06-18 16:52:38 发布
最新推荐文章于 2023-06-18 16:52:38 发布
阅读量341 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redwand/article/details/104505187
版权

实验环境:
CA:192.168.0.109 (RHEL7.2)
https_server:192.168.0.144 (centos6.9)
client:192.168.0.176 (mac)

0x01 在109搭建搭建CA

1、手工创建

  • 在/etc/pki/CA目录下操作,生成ca私钥
(umask 077;openssl genrsa -des -out private/cakey.pem 2048)
  • 由私钥生成公钥(可免)
openssl rsa -in private/cakey.pem -pubout > private/capub.pem
  • 用私钥自签名生成CA的证书cacert.pem
openssl req -new -x509 -key private/cakey.pem -out /etc/pki/CA/cacert.pem

2、命令创建

[root@localhost CA]# /etc/pki/tls/misc/CA -newca
0x02 在144搭建https
  • 安装mod_ssl模块
[root@redwand ~]yum install mod_ssl
[root@redwand ~]# rpm -ql mod_ssl
/etc/httpd/conf.d/ssl.conf
/usr/lib64/httpd/modules/mod_ssl.so
/var/cache/mod_ssl
/var/cache/mod_ssl/scache.dir
/var/cache/mod_ssl/scache.pag
/var/cache/mod_ssl/scache.sem
  • 按照144上配置文件/etc/httpd/conf.d/ssl.conf的目录默认存放要求,生成私钥。
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

cd /etc/pki/tls/private/
(umask 077;openssl genrsa -des -out localhost.key 1024)
  • 生成https的证书请求文件,发送给CA。
openssl req -new -key localhost.key -out localhost.csr
scp localhost.csr root@192.168.0.109:/tmp
0x03 在109的CA上给144签证

根据/etc/pki/tls/openssl.conf配置文件要求创建index.txt文件,serial文件

touch /etc/pki/CA/index.txt
echo 00 > /etc/pki/CA/serial

给144的证书请求文件签证

[root@localhost CA]openssl ca -in /tmp/localhost.csr -out /tmp/localhost.crt
[root@localhost CA]# cat index.txt
V        210224115705Z                00        unknown        /C=CN/ST=SD/O=redwand/OU=it/CN=www.redwand.com/emailAddress=loc@redwand.com
[root@localhost CA]# cat serial
01	#serial号码+1
[root@localhost CA]# ls newcerts/
00.pem	#签好的https的证书

按照144上配置文件/etc/httpd/conf.d/ssl.conf的要求放置109的证书

scp 00.pem root@192.168.0.144:/etc/pki/tls/certs/localhost.crt
0x04 client访问https://www.redwand.com

得到警告信息,因为该证书的颁发者的证书redwand是自签名的。
在这里插入图片描述
在这里插入图片描述
隐私与安全–》查看证书–》证书颁发机构,导入CA的证书cacert.crt,从而信任颁发机构。
在这里插入图片描述

0x05 CA吊销证书

吊销证书00.pem

[root@localhost ~]# echo 00 > /etc/pki/CA/crlnumber
[root@localhost ~]# openssl ca -revoke /etc/pki/CA/newcerts/00.pem -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -config /etc/pki/tls/openssl.cnf
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:
Revoking Certificate 00.
Data Base Updated

生成证书吊销列表client.crl

[root@localhost ~]# openssl ca -gencrl -out /etc/pki/CA/crl/client.crl -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -config /etc/pki/tls/openssl.cnf

查看吊销列表的内容

[root@localhost crl]# openssl crl -in client.crl -text
redwand
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl 签发CA
Jaytse的专栏
07-25 1381
 v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);} Normal 0 7.8 磅 0 2
openssl自建ca并颁发证书
m_pNext的博客
12-20 605
ubuntu的官方帮助文档 https://help.ubuntu.com/community/OpenSSL#SS L_Certificates 目标        在同一台主机建立站点并访问,自建CA为该站颁发证书,使得在火狐浏览器访问该站时锁标识为绿色。 前提 已安装 apache 和 openssl ubuntu 自带 apache 和 openssl 可使用以下命令查看二者的版本,若需更新查看该链接 apache2 -version openssl ve
配置https
weixin_30670151的博客
10-28 64
(1)先按装mod_sslyum install mod_ssl完毕后在/etc/httpd/conf.d/下会有一个ssl.conf的文件,打开主要是看下证书及密钥的位置SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key(2)生成密钥...
openssl 生成自签名证书以及CA证书链
jxhaha的博客
06-18 1481
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
openssl给内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 5795
openssl给内网IP生成ca证书(ssl证书)
PKI详解与openssl实现私有CA证书签发
weixin_42098322的博客
06-08 2270
参考文章:加密解密:PKI详解 加密解密技术基础 在看这篇文章之前,首先需要有加密解密的技术基础: 安全目标: 保密性:确保通信信息不被任何无关的人看到 完整性:实现通信双方的报文不丢失、数据完整性、系统完整性 可用性:通信任何一方产生的信息应当对授权实体可用 攻击类型: 威胁保密性的攻击:窃听、通信量分析 威胁完整性的攻击:更改、伪装、重放、否认 重放:攻击者能解惑双方通信的报文、并开始一遍遍发送 否认:通信双方的某一方发送的,下了订单却说没下 威胁可用性的攻击:拒绝服务(Dos) 解决方案 技术:加
OPENSSL私有CA搭建
weixin_43853965的博客
01-07 918
本文是实操,旨在理解: 对称加密、非对称加密、散列的具体实现CA的整个工作过程; 数字证书到底包含哪些内容。 一、Openssl常用命令: 帮助: # openssl ? # 查看openssl的命令及子命令 # man enc # 可以直接查看子命令帮助 加密: # openssl enc -des3 -e -salt -in /lee/sh/test.sh -out /lee/sh...
私有CA部署1
08-04
私有CA部署的配置文件是openssl.cnf文件,该文件用于定义私有CA的配置参数,包括证书颁发机构的名称、证书请求的生成方式、证书数据库的位置等。 4. 私有CA部署的优点 私有CA部署有以下优点: * 高效:私有CA可以...
VC实现CA,DLL
08-03
标题中的"VC实现CA,DLL"指的是使用Visual C++(简称VC...总的来说,这个项目为那些需要在VC环境中搭建私有CA系统的人提供了一个基础框架。通过这个框架,开发者可以定制化CA的行为,以适应特定的安全需求和认证流程。
OpenSSL签名需要的文件
02-24
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 工具包,广泛用于创建数字证书、管理私有密钥以及执行各种加密任务。在IT行业中,尤其是网络安全领域,OpenSSL 的作用至关重要。在这个场景中,我们讨论的...
CA私有颁发机构配置.pdf
11-12
配置好私有CA后,组织可以控制证书的生命周期,包括签发、更新、吊销等操作,这对于内部网络的安全管理和维护非常重要。同时,由于不需要依赖外部公共CA,可以降低对外部服务的依赖,提高系统的自主性和灵活性。
openssl ca签发证书
来说意义非凡3
03-05 806
参数选项如下:[root@localhost 2]# openssl ca -help unknown option -help usage: ca args -verbose - Talk alot while doing things -config file - A config file -name arg - The particular CA d...
Windows教程:如何在Windows环境下生成localhost_ssl自建证书进行https方式访问
wfeil211的博客
03-13 3379
Windows教程:如何在Windows环境下生成localhost_ssl自建证书
OpenSSL 使用openssl工具搭建私有CA
海阔天空
05-19 8974
SSL(安全套接层)是为网络通讯提供安全及数据完整性的一种安全协议,TLS(SSL的继承版本)与SSL在传输层对网络连接进行加密。SSL用以保障在数据传输的安全利用数据加密技术,可确保数据在网络上之传输过程中不会被窃取和监听。功能:机密性,认证,完整性,重放保护两阶段协议,分为握手阶段和应用阶段握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商...
证书
tomhibolu
02-26 263
证书 1.CA自签证书 cd /etc/pki/CA/private 生成密钥: [root@station116 private]# openssl genrsa 2048 > ca.key Generating RSA private key, 2048 bit long modulus ...............................+++ .......+...
openssl私有CA实现私有证书签署
donghaixiaolongwang的博客
02-18 2646
当你用到私有CA自签证书的时候,那意味着你的数据需要加密了(在互联网上或者其他使用场景下传输数据)。  要想做到数据安全必须具备以下因素:数据的机密性(数据在传输的过程中必须加密,一般用对称加密算法)、数据的完整性(数据传输过程中不能出错或者被人修改,一般用单项加密算法)、身份认证(明确数据传输双方身份,一般用公钥加密)。 证书是怎么被使用的呢? 以https为例,用户(浏览器端)向服务
openssl创建私有CA
果果的博客
11-27 569
浅谈数据加密 A—>b:(ftp,http,smtp,telnet) 明文传输 不能保证数据完整性 不能进行身份验证 机密性: plaintest–>转换规则–>ciphertext ciphertext–>转换规则–>plaintest 所以我们需要一种方案来确保我们的信息安全。这就是我们的密钥。 转换算法:密钥...
sudo提权详解
redwand的博客
01-06 9485
一、sudo命令 二、渗透提权思路 三、蓝队防御思路
php openssl openssl.cafile
最新发布
05-11
OpenSSL是一个常用的加密库,提供了很多加密算法和SSL/TLS协议的实现。而PHP OpenSSL是一个基于OpenSSL的PHP扩展,提供了一系列函数用于加密和解密、数字签名、证书管理、SSL/TLS连接等操作。 而openssl.cafile是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值