基于OpenSS 的CA 建立及证书签发

最新推荐文章于 2023-09-21 15:19:16 发布
最新推荐文章于 2023-09-21 15:19:16 发布
阅读量740 收藏
点赞数

转自:file:///C:/Users/Administrator/Desktop/%E5%9F%BA%E4%BA%8EOpenSS%20%E7%9A%84CA%20%E5%BB%BA%E7%AB%8B%E5%8F%8A%E8%AF%81%E4%B9%A6%E7%AD%BE%E5%8F%91.htm


1、建立CA目录结构



按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。安装完openssl后,相关配置文件在/etc/ssl/openssl.cnf中进行设置。在debian下安装的


openssl,所以修改配置文件/etc/ssl/openssl.cnf。




    dir=./demoCA # Where everything is kept   


修改为   dir=/home/democa # Where everything is kept


    终端操作:


        #mkdir -p /home/democa/{private,newcerts}


        #touch /home/democa/index.txt
        #echo 01 > /home/democa/serial
2、生成CA证书的RSA密钥对




#openssl genrsa -des3 -out /home/democa/private/cakey.pem 2048


    参数解释:


        genrsa


           用于生成 RSA 密钥对的 OpenSSL 命令。


        -des3


           使用 3-DES 对称加密算法加密密钥对,该参数需要用户在密钥生成过程中输入一个口令用于加密。今后使用该密钥对时,需要输入相应的口令。如果不加该选项,则不对密钥进行加密。


        -out /home/democa/private/cakey.pem


           令生成的密钥对保存到文件 ./demoCA/private/cakey.pem 。


        2048
           RSA 模数位数,在一定程度上表征了密钥强度。
3、生成CA证书请求




为了获取一个 CA 根证书,我们需要先制作一份证书请求。先前生成的 CA 密钥对被用于对证书请求签名。


      #openssl req -new -days 365 -key /home/democa/private/cakey.pem -out careq.pem


      参数解释:


         req


            用于生成证书请求的 OpenSSL 命令。


         -new


            生成一个新的证书请求。该参数将令 OpenSSL 在证书请求生成过程中要求用户填写一些相应的字段。


         -days 365


            从生成之时算起,证书时效为 365 天。


         -key /home/democa/private/cakey.pem


            指定 /home/democa/private/cakey.pem 为证书所使用的密钥对文件。


         -out careq.pem
            令生成的证书请求保存到文件 careq.pem 。
4、对CA证书请求进行签名




     在实际应用中,用户可以通过向知名 CA 递交证书请求来申请证书。但是在这里,我们需要建立的是一个根 CA ,只能由我们自己来对证书请求进行签名。所以我们让 OpenSSL 使用证书请求中附带的密钥对对该请求进行签名,也就是所谓的“ self sign ”


     #openssl ca -selfsign -in careq.pem -out /home/democa/cacert.pem


     参数说明:


        ca


           用于执行 CA 相关操作的 OpenSSL 命令。


        -selfsign


           使用对证书请求进行签名的密钥对来签发证书。


        -in careq.pem


           指定 careq.pem 为证书请求文件。


        -out /home/democa/cacert.pem
           指定 /home/democa/cacert.pem 为输出的证书。
5、一步完成CA证书请求生成及签名




     以上两个步骤可以合二为一。利用 ca 命令的 -x509 参数,通过以下命令同时完成证书请求生成和签名从而生成 CA 根证书


     #openssl req -new -x509 -days 365 -key /home/democa/private/cakey.pem -out /home/democa/cacert.pem


     参数说明:      


         req


            用于生成证书请求的 OpenSSL 命令。


         -new


            生成一个新的证书请求。该参数将令 OpenSSL 在证书请求生成过程中要求用户填写一些相应的字段。


         -x509


            生成一份 X.509 证书。


         -days 365


            从生成之时算起,证书时效为 365 天。


         -key ./demoCA/private/cakey.pem


            指定 cakey.pem 为证书所使用的密钥对文件。


         -out ./demoCA/cacert.pem


            令生成的证书保存到文件 ./demoCA/cacert.pem 。


   注:如果在 CA 建立过程中跳过证书请求生成的步骤,则不会产生 careq.pem 文件。


 
   以上就是建立好的CA系统,以后就可以用CA系统来签发用户证书使用了。
6、生成用户证书RSA密钥对




参照 CA 的 RSA 密钥对生成过程,使用如下命令生成新的密钥对


      #openssl genrsa -des3 -out userkey.pem


      参数解释:


          genrsa


             用于生成RSA密钥对的openssl命令


          -des3


             使用 3-DES 对称加密算法加密密钥对,该参数需要用户在密钥生成过程中输入一个口令用于加密。今后使用该密钥对时,需要输入相应的口令。如果不加该选项,则不对密钥进行加密。


          -out
             生成的密钥对保存在当前目录下。
7、生成用户证书请求




   #openssl req -new -days 365 -key userkey.pem -out userreq.pem


      参数解释:


          req


             用于生成证书请求的 OpenSSL 命令。


          -new


             生成一个新的证书请求。该参数将令 OpenSSL 在证书请求生成过程中要求用户填写一些相应的字段。


          -days 365


             从生成之时算起,证书时效为 365 天。


          -key userkey.pem


             指定 userkey.pem 为证书所使用的密钥对文件。


          -out userreq.pem
             令生成的证书请求保存到文件 userreq.pem 。
8、签发用户证书




现在,我们可以用先前建立的 CA 来对用户的证书请求进行签名来为用户签发证书了。


      #openssl ca -in userreq.pem -out usercert.pem


      参数解释:


           ca


              用于执行 CA 相关操作的 OpenSSL 命令。


           -in userreq.pem


              指定用户证书请求文件为 userreq.pem 。


           -out usercert.pem


              指定输出的用户证书文件为 usercert.pem 。
    第6、7、8步就是使用CA签发用户的密钥和证书。用户就可以使用密钥和证书进行ssl协议编程了。
tracyjk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
demoCA.rar
09-01
windows版Win64OpenSSL_Light-1_1_0k生成https证书的时候,最后颁发证书命令: openssl ca -policy policy_anything -days 3652 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt 会报错,这是demoCA文件夹里面缺少部分文件引起的。解压缩该文件并覆盖demoCA目录就可以解决。
openssl制作证书
zqj1172102457的博客
04-20 239
搭建制作证书的环境 新建一个证书制作的测试目录,比如mycerts 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息 /home/mycerts # mkdir demoCA 创建demoCA/newce...
openssl创建CA证书教程
justlpf的专栏
09-21 3399
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
openssl CA服务器模拟指令CA详解
yexiangCSDN的专栏
02-01 962
1、CA概述 首先我们需要明确CACA服务器的区别,CA是指集技术和管理与一体的庞大机构,不仅要求技术能力,还需要相应的管理能力。CA服务器相对来说比较简单,完成指定功能的一个应用程序。具体功能包括接受申请证书的请求、审核证书请求、签发证书、发布证书、吊销证书、生成和发布证书吊销列表及证书库的管理。 openssl提供了ca指令来模拟ca服务器,完成上述功能。上述功能繁杂,本文则主要
./demoCA/newcerts: No such file or directory
swanabin的专栏
09-14 9154
转自VC错误:http://www.vcerror.com/?p=2029 问题描述: 用生成的CA证书为server.csr与client.csr文件签名; openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf openssl ca -in client.cs
数字证书实战经验-Openssl自建CA中心及签发证书
最新发布
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
基于tls的CA测试证书
12-06
**基于TLS的CA测试证书详解** 在网络安全领域,证书授权(Certificate Authority,简称CA)扮演着至关重要的角色,它为互联网上的通信提供了安全基础。基于TLS(Transport Layer Security,传输层安全协议)的CA...
gmssl生成ca证书 ca证书签发用户证书
12-25
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书
PKI/CA与数字证书技术大全
12-06
2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证并签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
通过openssl搭建CA中心并验证签名证书有效
weixin_30485379的博客
03-25 384
在linux下搭建CA中心,并在客户端验证CA签名是否正确:   在linux上搭建CA中心主要是通过openssl工具包进行的:   1.ca中心的文件夹结构树      demoCA/ |--cacert.pem |--certs | |--01.pem |--index.txt |--index.txt.attr |--openssl.cnf |...
OPENSSL证书制作与浏览器认证
redwingz的博客
05-18 1395
准备环境 $ mkdir -p CA/{certs,crl,newcerts,private} $ $ touch CA/index.txt $ $ echo 00 > CA/serial 生成CA秘钥 $ openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ....
正确使用 OpenSSL 自签发代码|邮件|域名|IP 证书
ScarlettZhao0602的博客
08-31 1046
wss证书
linux 下CA服务器安装
linus.lin的博客
12-22 771
首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。 2、证书的概念:首先要有一个根证书,然后用根证书签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此:在此环境中,至少必须有三个证书:根证书,服务器证书,客户端证书。 在生成证书之前,一般...
2020年用openssl自做CA签发SSL证书
Kevin_lady的博客
09-23 1813
本人运行环境:openssl-1.0.2o, vscode,ubuntu 1.首先要生成服务端的私钥(key文件) openssl genrsa -des3 -out server.key 1024 2.生成CSR签名请求证书,生成的csr文件交给CA签名后形成服务端自己的证书openssl req -new -key server.key out server.csr -config openssl.cnf 这个地方会出现错误: 02001002:system library:fopen:No s
基于 OpenSSL 的 CA 建立证书签发
先做个码农
01-09 411
转自http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/ 建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于/usr/ssl/openssl.cnf 内,详情可参见 config (1) 。在终端中使用如下命令建...
openssl的证书申请
newlifenewwork的博客
03-02 767
使用openssl查看证书请求文件相关的内容   1.生成密钥对 openssl genrsa -des3 -out keypair.pem 2048   2.生成证书请求文件 openssl req -new -days 365 -key keypair.pem -out careq.pem   3.dump出来证书申请的详细的字段 3.1相关的数据结构 根据 PKCS#10
使用openssl自建ca和生成证书
hsulei的博客
01-12 2975
使用openssl自建ca和生成证书 今天了解一下ssl证书从申请到签发的简单过程。并使用openssl命令进行模拟。 一个证书签发需要有一个CA和一个用户两个角色。自建CA首先我们通过openssl创建一个RootCA:在openssl的安装目录下的misc目录中执行./CA.sh -newca创建RootCA。此时会让我们输入RootCA私钥的密码和填写certificate reques
openssl自做CA签发SSL证书
热门推荐
swanabin的专栏
09-14 1万+
本人运行环境:openssl-1.0.1p,vs2010 首先运行CMD,跳转到..\openssl-1.0.1p\out32dll 目录下,比如我的: c:>cd  c:\openssl-1.0.1p\out32dll c:\openssl-1.0.1p\out32dll 然后依次执行下面的步骤,生成对应的文件: 1.首先要生成服务器端的私钥(key文件): openssl ge
揭开CA数字证书签发、算法与应用全貌
通过后,CA会用自己的私钥对证书进行签名,生成包含证书序列号、主题(如网站名称、电子邮件地址)、签发者信息、有效期、用途和公钥等详细信息的证书。 - 证书内容:一个典型的数字证书包括序列号(唯一标识符)、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值