搭建私有CA

最新推荐文章于 2024-06-13 22:02:03 发布
最新推荐文章于 2024-06-13 22:02:03 发布
阅读量2.5k 收藏 10
点赞数 2
分类专栏: linux 安全和加密 文章标签: openssl CA CA证书 Linux 安全和加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxy2475/article/details/77918108
版权
本文介绍了如何搭建私有CA,包括理解CA和CA证书的概念,详细步骤涵盖生成openssl.cnf文件,创建并签署私钥,申请及颁发证书,以及证书的吊销过程。适合需要在局域网内实现安全通信的场景。
摘要由CSDN通过智能技术生成

搭建私有CA

前言

什么是CA

CA是Certificate Authority的缩写,也叫“证书授权中心”。
在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到公认证书签发机构的签发,这些签发机构统称CA。CA主要负责签发证书、认证证书、管理已颁发证书的第三方机构,是PKI的核心。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。

什么是CA证书

CA证书,顾名思义,就是CA颁发的证书
CA证书也是数字证书的一种,是通过数字签名实现的数字化证书, 具有不能被伪造的特点。是实现web安全通信中必不可少的一环。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。

获取CA证书两种方法
  1. 证书授权机构的颁发
    生成签名请求(csr)
    将csr发送给CA
    从CA处接收签名
  2. 自签名的证书颁发
    自已签发自己的公钥

现在在互联网上大行其道的https协议,就是通过CA证书的认证实现的。但证书虽好却价格昂贵,CA证书的使用者每年都需要向证书颁发机构缴纳一笔不菲的费用,如果搭建的网站只是供自己或局域网内使用,通过证书机构颁发证书就很不划算了。像这种情况,我们就可以通过搭建自己的私有CA来解决,实现局域网内web安全通信。
接下来我会详细介绍如何搭建私有CA,并实现证书的签发和管理。

openssl.cnf文件

想要搭建私有CA,/etc/pki/tls/目录下的openssl.cnf文件是你必须要了解的,文件内有关于CA的重要配置信息。

root&localhost: ~># cat /etc/pki/tls/openssl.cnf
                ……此处省略部分显示内容……
####################################################################
[ ca ]
default_ca  = CA_default        #指定默认使用的CA
####################################################################
[ CA_default ]

dir         = /etc/pki/CA       #CA的工作目录,所有与CA相关的信息都在此目录下
certs       = $dir/certs       #证书的存放路径,需人为指定才会将证书存放在此目录下。
crl_dir     = $dir/crl         #证书吊销列表的存放路径
database    = $dir/index.txt   #指定证书数据库文件所在的路径,index.txt文件用于存放证书数据,此文件默认没有,需手工创建。
#unique_subject = no            # Set to 'no' to allow creation of
                    # several ctificates with same subject.
new_certs_dir   = $dir/newcerts        #新证书的存放目录,新生成的证书默认存放于此目录下。

certificate = $dir/cacert.pem  #CA自身证书的所在路径
serial      = $dir/serial      #要颁发的下一个证书的编号,编号要求是16进制数,该文件需手工创建并写入编号。
crlnumber   = $dir/crlnumber   #下一个要被吊销的证书编号
                    # must be commented out to leave a V1 CRL
crl     = $dir/crl.pem         # The current CRL
private_key = $dir/private/cakey.pem#CA私钥存放的路径
RANDFILE    = $dir/private/.rand   # private random number file

x509_extensions = usr_cert      # The extentions to add to the cert

# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt    = ca_default        # Subject Name options
cert_opt    = ca_default        # Certificate field options

# Extension copying option: use with caution.
# copy_extensions = copy

# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crlnumber must also be commented out to leave a V1 CRL.
# crl_extensions    = crl_ext

default_days    = 365           #指定证书有效期,默认365天。
default_crl_days= 30            # how long before next CRL
default_md  = sha256        # use SHA-256 by default
preserve    = no            # keep passed DN ordering

# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy      = policy_match      #指定默认使用的CA策略

# For the CA policy
[ policy_match ]     #记录了CA搭建时和客户端向你申请证书时,提交信息的匹配策略。
countryName     = match     #省或州的名字
stateOrProvinceName = match     #城市名
organizationName    = match     #公司或组织名
organizationalUnitName  = optional      #公司或组织下的单位名
commonName      = supplied      #通用名,一般指定为网站的服务器域名,www.xxxx.com
emailAddress        = optional   #邮件地址
#match、optional、supplied分别代表三种不同的匹配策略,匹配、支持和可选。匹配指要求申
最低0.47元/天 解锁文章
sxy2475
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
构建私有CA 机构
qfxulei的博客
08-05 790
CA中心申请证书的流程: 过程: 1。web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2。web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。 1、CA 介绍 CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
此时,通过搭建私有CA,可以更高效地管理和分发证书,使得每个服务只需信任CA即可,简化了配置流程。 以下是如何搭建私有CA并应用于Tomcat和Springboot的步骤: 1. **创建CA中心**: 在一个专门的服务器(如...
怎么利用linux自建一个ca自己申请证书
最新发布
白了个白的博客
06-13 273
默认生成的证书,在windows上是不被信任的,可以通过导入操作实现信任。匹配策略,指用此CA颁发证书时,证书的相关字段与CA的值的匹配规则。指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行。match 要求申请写的信息跟CA设置信息必须一致。2、为需要使用证书的主机生成证书申请文件。在客户端获取要吊销的证书的 serial。3、用CA签署证书并将证书颁发给请求者。1、为需要使用证书的主机生成生成私钥。浏览器设置-->证书管理-->导入。1、创建CA所需要的文件。
2024年网络安全最新现代密码学-CA与数字证书详解_caca证书(2),2024年最新网络安全基础开发入门(1)
2401_84968582的博客
05-16 851
证书类似现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片)绑定在一起。个人身份证是由国家权威机关(公安部)签发的,该证件的有效性和合法性是由权威机关的签名或签章保障的,因此身份证可以用来验证持有者的合法身份的信息,称为身份鉴定。数字证书也称为公钥证书,是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心(简称CA)对该证书的签名。
私有CA搭建
weixin_42243133的博客
05-02 222
1、创建CA所需要的文件 生成证书索引数据库文件 touch /etc/pki/CA/index.txt 指定第一个颁发证书的序列号 1235 echo 01 > /etc/pki/CA/serial 查看证书内容 [root@centos880 CA]# openssl x509 -in zhengshu -noout -text 生成CA私有密钥于/etc/pki/CA/private openssl genrsa -out private/cakey.pem 2048 为CA自己颁
如何搭建CA
weixin_33885676的博客
09-23 394
今天小编讲讲怎么搭建CA,开讲之前先说一一下什么是CA,发送数据过程:发送方: 计算数据特征值----> 使用私钥加密特征值 ---> 随机生成密码对称加密整个数据 ---> 使用接受方公钥加密密码接收方: 使用私钥解密密码 ----> 解密整个数据 ----> 使用公钥验证身份 ----> 比较数据特征值那么问题来了,谁来管理公钥,任何在...
创建私有CA,我就用openSSL
程序那些事
07-21 655
一般情况下我们使用的证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
搭建Docker私有仓库(自签名方式)
01-10
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证,认证时间长的要钱啊,免费过期时间太短,还是用自签名比较简单。 准备...
Docker搭建私有仓库之Harbor的步骤
01-09
Harbor  Harbor是构建企业级私有...另外它还整合了两个开源的安全组件,一个是Notary,另一个是Clair,Notary类似于私有CA中心,而Clair则是容器安全扫描工具,它通过各大厂商提供的CVE漏洞库来获取最新漏洞信息,并
部署私有CA实现https网站最佳实践
04-21
部署私有CA实现https网站最佳实践,很不错可以,可以实践
VC实现CA,DLL
08-03
标题中的"VC实现CA,DLL"指的是使用Visual C++(简称VC...总的来说,这个项目为那些需要在VC环境中搭建私有CA系统的人提供了一个基础框架。通过这个框架,开发者可以定制化CA的行为,以适应特定的安全需求和认证流程。
hyperledger-fabric-ca-darwin-amd64-1.4.3.tar.gz
12-06
hyperledger-fabric 私有搭建,必备的工具包。在执行sh bootstrap.sh 会用到。但由于国内网络环境,下载起来特别慢,导致sh bootstrap.sh 执行失败。 使用方法,解压之后,将bin中的可执行文件复制到fabric-...
cryptodag:托管CA加密工具
04-11
此外,Python也可以用来创建自签名证书或管理证书签发过程,这对于搭建内部测试环境或构建私有CA非常有用。 在提到“托管CA”,通常是指提供集中式管理和分发证书的服务,这在大型组织或云服务提供商中尤为常见。...
构建私有CA
Ghoy的博客
09-10 1633
前言什么是CACA是Certificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书CA证书也是数
搭建私有CA证书认证
weixin_33905756的博客
01-24 190
/etc/pki/tls/openssl.cnf部分内容生成私钥, 证书自签名 查看证书centos6 生成秘钥和公钥,发送公钥给centos7 申请证书centos7 签发证书,回传给centos6(比较两个文件,其实内容是一样的,名字不一样)win下 把cacent.crt 加入根证书机构 ,打开app.crt看到证书已经生效 转载于:https://blog...
私有CA服务器的搭建
weixin_34212762的博客
02-10 159
openssl是实现ssl协议的应用程序,可以使用yum install -y openssll来安装,构建私有CA之前先来了解openssl的使用;openssl的主配置文件:/etc/pki/tls/openssl.cnf [CA_default] dir:CA的主目录...
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名根证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值