centos下使用cfssl生成ssl证书

最新推荐文章于 2023-07-30 01:00:00 发布
最新推荐文章于 2023-07-30 01:00:00 发布
阅读量1.8k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sujosu/article/details/101520260
版权

安装ssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
cfssl version

证书类型

client certificate: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端
server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver
peer certificate: 双向证书,用于etcd集群成员间通信

初始化json文件

  生成json模板文件

cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json

自签CA

编辑 ca-config.json 

  • profiles:指定了不同角色的配置信息
    服务端使用server auth(TLS Web Server Authentication X509 V3 extension),客户端使用client auth(TLS Web Server Authentication X509 V3 extension)
  • expiry:指定了证书的过期时间为87600小时(即10年)
{
    "signing": {
        "default": {
            "expiry": "87600h"
        },
        "profiles": {
            "client": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "server": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "peer": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

自定义ca-csr.json

  • CN即common name,hosts可以指定多个(泛)域名以及多个IP地址
  • key:指定了加密算法,一般使用rsa(size:2048)

 

{
    "CN": "example.net",
    "hosts": [
        "example.net",
        "www.example.net",
        "127.0.0.1"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "L": "CA",
            "ST": "San Francisco"
        }
    ]
}

生成CA证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

生成ca.pem、ca.csr、ca-key.pem(CA私钥,需妥善保管)

生成服务器和客户端证书

同样,首先生成默认配置文件:

cfssl print-defaults csr > json/server.json

修改如下部分:

"CN": "test.coreos.com",
"hosts": [
	"server.coreos.org",
	"*.coreos.org"
],
  • cfssl支持SAN(Subject Alternative Name),它是X.509中定义的一个扩展,使用了SAN字段的SSL证书,可以扩展此证书支持的域名,即一个证书可以支持多个不同域名的解析。
  • 然后使用刚才生成的CA来给服务器签署证书,运行如下命令来生成服务端证书:

      cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=json/ca-config.json -profile=server json/server.json | cfssljson -bare server

  • -profile指定了使用ca-config.json中的profile
  • 最后的server给定了生成的文件名,将得到如下三个文件:server.csr、server-key.pem和server.pem
  •    类似的,可以生成客户端证书,配置文件的hosts字段指定为空即可

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=json/ca-config.json -profile=client json/client.json | cfssljson -bare client

参考文章 https://blog.csdn.net/DXZCZH/article/details/86388869

sujosu
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S证书生成工具-cfssl-Centos离线安装包
10-28
K8S证书生成工具-cfssl工具-Centos离线安装包
自签证书cfssl资源文件包
06-24
这个包里含有生成自签证书必要的工具,以及ca证书请求文件和ca证书策略,证书有效期为10年。
SSL证书详解和CFSSL工具使用
江晓龙的博客
05-01 4301
SSL证书详解和CFSSL工具使用 1.公钥基础设施PKI基础概念 CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。 密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。 RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据只能用另一个密码解开,用自己的都解不了,也就是说用公钥加密的数据只能由私钥解开。 证书的编码
使用 cfssl 工具生成证书离线部署Harbor企业级私有镜像仓库(超详细无坑)
Mr.L-OAM的博客
06-05 948
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,目标是帮助用户迅速搭建一个企业级的 Docker 镜像管理中心,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。
Centos7.9 使用 cfssl生成证书
qq_29744347的博客
04-11 831
使用ca-config.json 中 profile iam 配置信息:-config=/etc/iam/cert/ca-config.json -profile=iam iam-apiserver-csr.json | cfssljson -bare iam-apiserver。server auth: 客户端使用证书可以对服务端提供的证书进行验证。client auth: 服务端使用证书可以对客户端提供的证书进行验证。使用certinfo查看下证书信息和证书签名请求信息。expiry:证书有效期。
Centos7下,使用cfssl工具生成CA证书
zhuyongru的专栏
11-14 6458
1.下载cfssl工具 $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 $ chmod +x cfssl_linux-amd64 $ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl $ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd6...
Kubernetes1.27.1部署+containerd+CFSSL证书+批量高可用集群部署
qq_28619723的博客
05-17 1928
Kubernetes1.27.1部署+containerd+CFSSL证书+批量集群部署
centos7 配置ssl证书
BradenHan的专栏
07-30 2347
SSL证书(Secure Sockets Layer certificate)是一种用于加密拦截在客户端和服务器之间传输的数据的安全协议。它通过数字加密技术,确保传输过程中的机密性、完整性和身份验证。SSL证书可以保护网站和应用程序的安全性,它们通过在客户端和服务器之间建立安全连接,防止第三方窃听、篡改或伪装攻击。当用户访问一个使用SSL证书保护的网站时,浏览器会与服务器进行握手,交换密钥,并确保所连接的服务器的身份。
CentOS7自签SSL证书并配置nginx
toutuopang的博客
03-10 2297
CentOS7自签SSL证书并配置nginx
CentOS 6.7下nginx SSL证书部署的方法
01-10
系统环境:CentOS6.7 nginx version: nginx/1.8.1 证书 # ls /opt/nginx/conf/ssl qingkang.me.crt # 公钥 qingkang.me.key # 私钥 配置 vim nginx.conf 找到以下内容 # HTTPS server # #server { # listen 443 ...
cfsslcfssl-certinfo、cfssljson linux库
07-17
cfssl_linux-amd64 cfssl-certinfo_linux-amd64 cfssljson_linux-amd64
k8s安装需要的组件:cfssl+dns+docker18.06+etcd+flannel+helm+socat
11-18
【离线安装包】 本人已经搭建过一套环境了,由于工作环境隔离外网,只能离线安装,现将需要用到的工具均打包好,以备不时之需。
cfssl离线linux服务器安装
12-14
cfssl 离线安装
Centos7安装给Apache服务安装配置SSL证书
01-07
Centos7.6平台下使用openssl给apache做自签名证书,并给apache设置HTTPS的SSL证书。(无坑版) 二、平台 [[email protected] ~]# uname -r 3.10.0-957.el7.x86_64 [[email protected] ~]# cat /etc/redhat-release  ...
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
Linux操作系统,生成SSL加密证书,部署验证。Nginx中间件部署SSL加密证书
智慧酒店项目智能化系统汇报方案qy.pptx
04-30
智慧酒店项目智能化系统汇报方案qy.pptx
基于C语言编写的高并发Epoll服务器.zip
04-30
基于C语言编写的高并发Epoll服务器.zip
liba2ps1-4.14-bp156.5.5.ppc64le.rpm
04-30
liba2ps1-4.14-bp156.5.5.ppc64le
基于matlab实现囚徒困境中的博弈策略的模拟:尝试了采用几种策略进行博弈使最终双赢的概率变大.rar
最新发布
04-30
基于matlab实现囚徒困境中的博弈策略的模拟:尝试了采用几种策略进行博弈使最终双赢的概率变大.rar
CentOS 8服务器安装SSL证书
06-08
CentOS 8服务器上安装SSL证书可以通过以下步骤实现: 1. 在服务器上安装Apache Web服务器,可以使用以下命令进行安装: ``` sudo dnf install httpd ``` 2. 安装mod_ssl模块,可以使用以下命令进行安装: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值