Linux实现搭建私有CA服务器和证书申请颁发吊销

最新推荐文章于 2024-08-09 17:40:30 发布
最新推荐文章于 2024-08-09 17:40:30 发布
阅读量1.4k 收藏 16
点赞数 1
分类专栏: Linux 运维常见问题 服务器安全 文章标签: linux 运维 服务器 CA openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/timonium/article/details/116150945
版权
本文介绍了如何在Linux环境下利用Openssl搭建私有CA服务器,包括创建CA文件夹、生成服务器私钥和自签名证书,以及证书的申请、签署、验证、吊销等过程。详细阐述了PKI和X.509标准,强调了私有CA在内部网络安全通信中的作用。
摘要由CSDN通过智能技术生成

利用Openssl搭建私有CA

  • 目标是为了向内网用户颁发证书,方便内部用户得到彼此的公钥
  • 搭CA服务器实际表现为准备好相关的文件

第一步:创建CA对应的文件夹

  • CentOS 7中已存在CA内容的对应文件夹
tree /etc/pki/CA
/etc/pki/CA
├── certs
├── crl
├── newcerts
└── private

4 directories, 0 files
  • CentOS 8中没有这些文件夹内,需要按要求创建出对应的文件夹
mkdir -pv /etc/pki/CA/{
   certs,crl,newcerts,private}

第二步:创建CA所需文件

  • index.txt 颁发证书的数据库文件,
    需要toch创建出来,不需要维护内容,
    给用户颁发证书文件时候,会自动往里写东西

  • serial 给证书的编号,
    只需要创建起来,写个数字进去,
    有格式要求,数字会不断地递增,
    生成下一个证书时会自动更新该文件中的数字

    这两个文件需要在搭建ca前

    #生成证书索引数据库文件
touch /etc/pki/CA/index.txt
#指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial

第三步:生成CA服务器私钥

  • openssl genrsa 用这个命令生成私钥
    1. 进入到CA目录
    cd /etc/pki/CA/
    1. 生成CA服务器私钥
      文件名和路径都是固定的
      命令也是固定的
    (umask 066; openssl genrsa -out private/cakey.pem 2048)

第四步:生成CA服务器自签名证书

  • CA服务器自己也需要证书,也就是根证书
  • 需要自己给自己先颁发一个自签名证书
  • 整个网络中的第一个CA,自己给自己签发自签名证书

执行命令开始创建CA自签名证书

openssl req -new -x509 -key \
/etc/pki/CA/private/cakey.pem \
-days 3650 -out /etc/pki/CA/cacert.pem

  • 参数说明

    -new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

进入交互式模式填写CA证书相关信息

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:Sun.com
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:it.Sun.com
Email Address []:it@Sun.com

至此,私有CA服务器搭建完成了

证书申请及签署步骤:

  1. 生成证书申请请求
    – 生成私钥
    – 从私钥生成csr申请文件
  2. RA核验
    – 转发给CA的代理审核请求
  3. CA签署
    – 接受请求,签发证书
  4. 获取证书
    – 客户端得到带有公钥的证书

客户证书申请

  • 证书申请可以在客户端生成私钥和证书申请文件,
  • 也可以在CA服务器上直接完成

CA服务器搭建好以后

  1. 创建或指定存放客户私钥的文件夹
mkdir /data/sun1
  1. 生成用户私钥
(umask 066;openssl genrsa -out /data/sun1/sun1.key 2048)

[00:11:00 root@C8[ sun1]#(umask 066;openssl genrsa -out /data/sun1/sun1.key 2048)
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................
最低0.47元/天 解锁文章
白-胖-子
关注
专栏目录
建立私有CA实现证书申请颁发
你是遥远的星河
02-04 2820
CA证书 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书 服务器证书 用户证书 获取证书两种方法: 自签名的...
使用OpenSSL自建CA颁发证书吊销证书
miouqi的专栏
07-17 5428
一、实验说明       OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。        OpenSSL是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;
CA证书openssl介绍
最新发布
xiaogengtongxu的博客
08-09 1071
SSL (Secure Sockets Layer) 和 TLS (Transport Layer Security) 是两种用于在网络通信中提供安全性和隐私的加密协议。它们的主要目的是确保数据在互联网上传输时的保密性、完整性和身份验证。历史:SSL 由 Netscape 在 1990 年代初期开发。版本:SSL 有 1.0、2.0 和 3.0 三个版本。现状:所有 SSL 版本现在都被认为是不安全的,已被废弃。
Apache + SSL搭建Linux证书服务器
weixin_33897722的博客
06-18 104
HTTPS是一个安全的访问方式,数据在传输过程中是加密的,HTTPS基于SSL加密。一:安装apache模块和ssl模块。yuminstallhttpdhttpd-develmod_ssl安装完成mod_ssl后会创建一个默认ssl证书,存放路径为/etc/pki/tlsSSL的配置文件存放在HTTP配置目录下的conf.d/ssl.conf二:使用openssl手动...
LINUX——CA证书的自签署以及如何吊销
weixin_34234829的博客
09-03 727
吊销证书1.客户端获取要吊销证书的serial openssl x509 -in /path/from/cert_file -noout -serial -subject CA端先客户端提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致 吊销证书openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem ...
Linux系统搭建私有CA证书服务器
微赚淘客系统开发者博客
01-30 2599
一、CA简介   CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证书颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也...
Linux 创建一个简单的私有CA、发证、吊销证书
Vic的博客
06-01 1507
操作环境:Centos 6、RHEL 6 操作虚拟机:VMware本实验基于OpenSSL实现,SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。实验流程: 1、以Centos 6系统作为CA机构,实行签发证书等操作 2、以RHEL 6系统作为申请证书客户机操作步骤: 1、让Centos 6自签证书成为CA发证机构 2、让RHEL 6...
ca证书 linux 导入_CA搭建证书申请
weixin_39973196的博客
12-19 1215
一:创建私有CAopenssl的配置文件:/etc/pki/tls/openssl.cnf根据此配置文件创建CAdir:CA相关文件存放路径 /etc/pki/CAcerts:证书存放目录 /etc/pki/CA/certsdatabase:数据库文件 /etc/pki/CA/index.txtnew_c...
Linux学习28-CA搭建证书申请
你的微笑像茉莉的博客
09-19 1330
2. OpenSSL工具 2.1 概述 主要组件 openssl: 多用途的命令行工具,包openssl libcrypto: 加密算法库,包openssl-libs libssl:加密模块应用库,实现了ssl及tls,包nss 涉及名称:satl值 原理: 为用户密码添加Salt值,使得加密的得到的密文更加冷僻,不宜查询。即使黑客有密文查询到的值,也是加了salt值的密码,而非用户设置...
创建私有CA服务器
weixin_30846599的博客
01-09 329
什么是证书?   它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。   理论上,人人都可以找个证书工具,自己做一个证书。 什么是CA?   CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书?   CA证书,就是CA颁发证书。   ...
linux搭建认证服务器,linux搭建https服务器
weixin_34652580的博客
04-29 347
一、 安装准备1. 安装Openssl要使Apache支持SSL,需要首先安装Openssl支持。这里使用的是openssl-0.9.8k.tar.gz下载Openssl:http://www.openssl.org/source/tar -zxf openssl-0.9.8k.tar.gz //解压安装包cd openssl-0.9.8k //进入已经解压的安装包./config //配置安装。...
Linux 搭建私有CA证书服务器之超详细版本
热门推荐
Harry_z666的博客
08-24 1万+
一、CA简介 CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证书颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也是证明我们服务是一个合法的服务器,换句话说就是有了证书我们就可以清楚知道我们访问的服务器到底是不是我们真正想访问的服
CA如何吊销签署过的证书
weixin_30830327的博客
09-17 503
1: 客户端获取要吊销证书的serial(在使用证书上的主机执行) openssl x509 -in httpd.crt -noout -serial -subject 2:拿到证书的编号后,通过编号吊销证书,这里的01表示证书的编号 openssl ca -revoke /etc/pki/CA/newcerts/01.pem 3:生成吊销证书吊销编号(第一次吊销某个服...
linux搭建ca服务器搭建,linux下安装EJBCA 搭建私有CA服务器
weixin_29495679的博客
05-02 469
linux下安装EJBCA 搭建私有CA服务器EJBCA是一个全功能的JAVA的CA系统软件,我们可以用此搭建私有CA服务器;一:首先我的测试环境:1. linux mint18.3 62位:同ubuntu2. ejbca_ce_6_5_0 : 下载地址https://sourceforge.net/projects/ejbca/files/ejbca6/ejbca_6_5_0/3.jbo...
linux进阶-一看就会的openssl的使用-申请、签署、吊销证书
Nanjing_bokebi的博客
11-09 1497
文章目录一看就会的openssl的使用-申请、签署、吊销证书实验准备安装openssl查询openssl包信息1.openssl命令的使用openssl中对称加密的使⽤2.使⽤openssl⽣成信息摘要,对⽐md5sum 命令⽣成的内容,应该⼀样才对3.使⽤openssl ⽣成密码4.使⽤openssl⽣成伪随机内容,以base64格式显⽰5.使⽤openssl ⽣成公私钥6.使⽤openssl ...
CA认证和颁发吊销证书
ldk99_的博客
07-02 997
https://www.cnblogs.com/along21/p/7595912.html
openssl 命令 生成与吊销证书示例 生成CA证书 客户端证书 服务器证书CA签名客户服务器的CSR证书
chenhao0568的专栏
04-17 987
这些步骤将帮助你生成自签名证书吊销证书。确保你有适当的权限来执行这些操作,并且按照正确的顺序执行步骤。要吊销证书,首先需要创建一个 CRL 文件,然后将要吊销证书添加到 CRL 中。并指定-config cnf/openssl.cnf。就手工建一个空的demoCA/index.txt。新建一个并写入00 保存。
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名根证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建了一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值