OPENSSL-转载

最新推荐文章于 2023-11-10 07:00:00 发布
最新推荐文章于 2023-11-10 07:00:00 发布
阅读量158 收藏
点赞数
分类专栏: ubuntu 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s31213/article/details/84828280
版权
一、OpenSSL简单介绍
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL能使用户/服务器应用之间的通信不被攻击者q听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。

二、安装相应软件包
1
2
3
4
$ sudo apt-get install apache2 ##安装Apache
$ sudo apt-get install openssl ##安装openssl
$ sudo apt-get install libssl-dev ##安装openssl开发库
$ sudo apt-get install bless ##编辑器使用 bless 十六进制编辑器,需预先安装


三、openssl.cnf简单释义

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
$ vi /usr/lib/ssl/openssl.cnf
127 [ req_distinguished_name ]
128 countryName = Country Name (2 letter code)##国家名,2个字母代码简称
129 countryName_default = CN ##中国就是CN
130 countryName_min = 2
131 countryName_max = 2
132
133 stateOrProvinceName = State or Province Name (full name)##州或省的名字
134 stateOrProvinceName_default = beijing
135
136 localityName = Locality Name (eg, city) ##本地城市名
137 localityName_default =beijing
138 0.organizationName = Organization Name (eg, company) ##组织(公司)名
139 0.organizationName_default = beijing www company
140
145 organizationalUnitName =Organizational Unit Name(eg,section)##组织单元(部门)名
146 organizationalUnitName_default = www
147
148 commonName = Common Name(e.g.server FQDN or YOUR name)##服务器域名
149 commonName = www.baidu.com
150 commonName_max = 64
151
152 #emailAddress = Email Address ##Email地址
153 emailAddress = admin@baidu.com
154 emailAddress_max = 64
155
156 # SET-ex3 = SET extension number 3
157
158 [ req_attributes ]
159 #challengePassword = A challenge password ##修改密码
160 challengePassword =
161
163 challengePassword_min = 4
164 challengePassword_max = 20


四、成为数字证书认证机构(CA),并为该CA生成证书

①将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹
wKioL1XLAHGgHZ-bAAAxI0QjDoQ917.jpg
1
2
3
4
5
6
$ sudo ln /usr/lib/ssl/openssl.cnf .
$ mkdir demoCA
$ cd demoCA
$ mkdir certs crl newcerts
$ touch index.txt serial ##index.txt为空;
##serial必须写入内容,且为字符串格式的数字(比如1111)
设置好这些后,现在就可以创建和发布证书了

②为自己的 CA 生成自签名证书,这意味着该机构是被信任的,而它的证书会作为 root 证书
1
$ openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf
wKioL1XMgjmzuePLAAIMibR5cAY144.jpg

注:务必记住自己所输入的密码,命令输出的文件存储:ca.key 与 ca.crt 中。文件 ca.key 包括 CA 的私钥,而 ca.crt 包含了公钥证书。

五、为客户生成证书
现在,我们是 root CA 了,可以为客户签数字证书了,客户是www.baidu.com。

①生成公开/私有密钥对
1
$ openssl genrsa -des3 -out server.key 1024
wKioL1XMW1zzV0dtAACZBmrhAuo779.jpg
注:需要提供一个密码来保护你的密钥,密钥会被保存在 server.key 文件中.

②生成证书签名请求 ,一旦公司拥有了密钥文件,它应当生成证书签名请求(CSR)。CSR 将被发送给 CA,CA 会为该请求生成证书(通常在确认 CSR 中的身份信息匹配后)。
1
$ openssl req -new -key server.key -out server.csr -config openssl.cnf
wKioL1XMgtjxs5sgAAH--YlDios531.jpg
注:请记住自己的输入

③生成证书。CSR 文件需要拥有 CA 的签名来构成证书(在现实世界中,CSR 文件常常被发送给可信任的 CA 签名)。输入CA的密钥,使用我们自己的 CA 来生成证书:
1
$ openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
wKiom1XMgavT0UWAAAIciHAz7XE481.jpg

六、在网站中使用PKI

1
2
$ sudo vi /etc/hosts
127.0.0.1 www.baidu.com


②启动一个拥有之前生成的证书的简单的 web 服务器
1
2
3
$ cp server.key server.pem
$ cat server.crt >> server.pem ##将密钥和证书合并成一个文件
$ openssl s_server -cert server.pem -www ##使用server.pem启动服务器
wKioL1XMhc3TudBFAABFzpRo7BQ305.jpg

③默认情况下,服务器会监听 4433 端口。输入https://www.baidu.com:4433
wKiom1XMhEjxcDYVAAENZ8Ql08Q080.jpg
注:提示此连接不受信任是因为我们的CA是自签名的,如是VeriSign 之类的 CA 授权的话就不会出现该情况了。

在这里可以配置让火狐接受我们的自签名(其他浏览器大同小异),配置如下:
菜单--->首选项--->高级--->证书--->查看证书(证书管理器)--->导入--->进入你配置openssl的目录,选择ca.crt--->打开(下载证书)--->勾上“信任使用此CA标识的网站”--->确定,然后刷新网站
wKioL1XMid6A4szLAAHDtla8VIY255.jpg
wKiom1XMh_jhdOeZAACAdYWbHR4356.jpg
wKiom1XMiK-TN9DIAAMzHLcknBw855.jpg
wKiom1XMiTWBW8rKAAC_H5U9ipQ638.jpg
沧桑老沈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL 使用openssl工具搭建私有CA
海阔天空
05-19 8972
SSL(安全套接层)是为网络通讯提供安全及数据完整性的一种安全协议,TLS(SSL的继承版本)与SSL在传输层对网络连接进行加密。SSL用以保障在数据传输的安全利用数据加密技术,可确保数据在网络上之传输过程中不会被窃取和监听。功能:机密性,认证,完整性,重放保护两阶段协议,分为握手阶段和应用阶段握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商...
利用openssl创建一个简单的CA
热门推荐
雕虫小技
04-26 2万+
 本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单的CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。  该简单的CA将建立在用户自己的
OpenSSL命令--ca
VitalityShow(网络通讯)
10-28 1万+
详细介绍了openssl中ca命令的参数、应用环境、配置、缺点等信息
Openssl ca命令
weixin_33729196的博客
03-05 279
一、简介 ca命令能够签发证书请求文件以及生成CRL列表   二、语法 openssl ca [-verbose] [-config filename] [-name section] [-gencrl] [-revoke file][-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_CA_...
openssl CA
xiazai_2012的专栏
04-03 504
建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于 /usr/ssl/openssl.cnf (SUSE => /etc/ssl/openssl.cnf)内,详情可参见 config (1) 。在终端中使用如下命令建立目录结构: $ mkdir -p ./demoCA/{private,newce
openssl-1.1.1d.rar
06-10
版权声明:本文为CSDN博主「沧海一笑-dj」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/dengjin20104042056/article/details/131030516
OPENSSL编程_赵春平
09-02
OpenSSL 编程 OpenSSL 编程是一本由赵春平编写的关于 OpenSSL 编程的书籍。 OpenSSL 是一个开源的加密库,广泛应用于网络安全领域。...本文档适用于 OpenSSL.cn 论坛,其他网站未经作者许可严禁转载
openssl之BIO系列
10-30
openssl之BIO系列---整理过的转载
openssl之EVP系列
10-30
openssl之EVP系列---整理过的转载
Window xp 下安装 openssl
08-10
Window xp 下安装 openssl 首先声明,我到现在还不知道为什么会安装成功,因为还是没有发现configure 这个文件夹只发现一个configure 可打开文件。就是不停的试,在试的过程中,最后还是被我安装成功了,而这个...
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书。
(13) openssl ca(签署和自建CA)
weixin_30616969的博客
10-03 228
用于签署证书请求、生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库。因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能。 证书请求文件使用CA的私钥签署之后就是证书,签署之后将证书发给申请者就是颁发证书。 在签署时,为了保证证书的完整性和一致性,还应该对签署的证书生成数字摘要,即使用单向加密算法。 由于openssl ca命令对配置文件(默认为/...
使用 openSSL 实现CA
weixin_33807284的博客
09-09 154
前言CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证...
Openssl建立CA系统
09-02 4055
本文介绍了数字证书应用相关技术,简单介绍了SSL通信,RSA非对称加密算法,并用一个简单实例介绍了RSA的加密与解密应用,并用openssl建立用户自己的CA系统,包括创建CA的根证书和密钥,给用户签名证书,撤销用户证书,管理证书撤销列表。   关键词:SSL、RSA简单实例、matlab乘幂取余、OPENSSL应用、用户CA建立
openssl 关于CA的使用
入琞的博客
08-03 778
第一步:创建目录结构 这些结构与config文件有关系 A创建目录结构:certs、client、crl、newcerts、private B创建文件index.txt serial C echo "01" > /etc/pki/CA/serial 第二步:配置文件 配置config文件:openssl.cnf /etc/ssl/openssl.cnf有系统的default文件; 但不能直接运行,需要修改成自己的路径和key [ CA_default ] dir..
OpenSSL ca证书命令操作详解
N阶二进制的博客
11-10 1261
OpenSSL 的ca命令用于操作证书颁发机构(CA,Certificate Authority)的操作,包括签发、撤销和管理证书。以下是 OpenSSL 版本 3.0 中openssl ca命令的详细使用手册。请注意,由于文本长度限制,以下内容可能不包含所有参数的详细说明。你可以使用命令在终端中获取帮助信息。
OpenSSL实现 CA 的过程
weixin_34310785的博客
08-03 126
如何利用 OpenSSL 来实现自制 CA 服务器呢? 这种情况下一般在一个公司内部可用到这种机制。一、实现自建 CA 的大致流程大致操作流程如上图所示。二、自建 CA 的详细操作流程第一步:自建 CA 服务器1、生成秘钥[root@centos6-5~]#(umask077;opensslgenrsa-out/etc/pki/CA/private...
加密、解密、openssl的基本应用以及自己创建CA
weixin_34146805的博客
03-07 141
在现实生活中密码的重要不言而喻,在我们的计算机上密码的更是重中之重,本文主要简单的讲述加密解密的实现机制,openssl的基本应用以及如何自己制作CA证书一、加密解密的基本分类 加密方式现在最要分为三类:对称加密、公钥加密、单向加密1)、对称加密 对称加密由加密算法加口令组成,比较著名的对称加密算法有DES(56bits),3DES,AES(128bit...
OpenSSL与CA认证
纯白小生的博客
09-18 4003
一、SSL/TLSSSL又被称之为安全的套接字层(Secure Socket Layer),一种安全的加密协议,是嵌套在应用层与传输层之间的一个半层。用户在浏览器中需要加密的时候输入https,则数据通过该半层进行加密。不需要加密的时候则输入http,数据不经过该半层。TLS又被称之为传输层安全协议(Transport Layer Security),其前身是SSL。IETF(互联网工程任务小组)将
openssl openssl-devel
最新发布
11-19
opensslopenssl-devel是用于加密和解密数据的开源软件包。其中openssl是运行时库,而openssl-devel是开发库,包含头文件和静态库。如果你需要在程序中使用openssl库,需要安装openssl-devel。 安装opensslopenssl-devel有两种方法: 1.在线安装: ```shell yum install -y openssl openssl-devel ``` 2.离线安装: 首先下载opensslopenssl-devel的离线安装包,然后解压缩: ```shell tar -zxvf openssl-1.1.1s.tar.gz cd openssl-1.1.1s ``` 接下来,进入解压后的目录,执行以下命令进行编译和安装: ```shell ./config make make install ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值