记一次CA证书的申请、服务器上的部署过程

已于 2023-03-29 11:12:59 修改
阅读量2.3k 收藏 7
点赞数 2
分类专栏: Https 文章标签: ssl ssl证书配置 ssl证书 ssl证书申请
于 2021-05-21 14:18:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011069294/article/details/117114652
版权

1.简介

最近用dockerliberity服务器上部署了一个应用。由于安全方面的考虑,服务器管理员需要我们启用https连接。这就需要我们去给liberity配置ssl证书。

2.步骤

1.申请CA证书

  1. 申请CA证书需要证书请求文件,需要在Server端生成。可以在server端用openssl命令生成。
    证书请求文件里面包含的是serverpublic key。下面的命令生成了一个xxxx.com.key,这个就是服务器的私钥。xxxx.com.csr就是证书请求文件,里面包含的是与xxxx.com.key配对的公钥。
    openssl req -new -sha256 -newkey rsa:2048 -nodes -keyout xxxx.com.key -out xxxx.com.csr
    思考:为什么需要证书请求文件?
    CA机构会用自己的私钥给证书请求文件签一个名,这样我们就得到了CA签名的证书,里面包含了server的公钥。
    浏览器在打开我们的网站的时候,server会将这个经过CA签名的证书发给浏览器,浏览器或操作系统内置了包含CA机构的公钥,用公钥将证书解密,得到server的公钥,用于后面https协商对称加密的秘钥。
  2. csr文件提交到CA机构。提交一些必要的信息之后,CA机构会返回给你CA证书。
    我这里使用的是内网的CA,它最终提供了三种文件格式的证书(crt,der, pkcs7b)。

2.将CA证书和服务器私钥存入p12秘钥库中

由于liberity服务器需要p12秘钥库形式的证书,所以我们需要对证书进行转换。
证书转换的时候,遇到了很多坑。
crtder格式的证书在转换的时候都会出错,出现unable to load certificate的错误。怀疑和CA网站上下载的证书的格式有关系,后面还需要研究下,这些格式之间有什么区别联系。
最终通过先将pkcs7b格式证书转换成pem格式的证书,然后将pem格式的证书转换成p12格式的证书,达到了目的。
pkcs7b格式的证书下载下来,文件后缀名是pem的,但是格式其实不是pem。需要先转成pem
pkcs7格式的cert.pem转成pem格式的certificate.pem

openssl pkcs7 -print_certs -in cert.pem -out certificate.pem

再将pem格式的certificate.pem转成p12格式的certificate.p12,注意需要将服务器的私钥xxxx.com.key一起放在p12中(设置了export密码,这个密码要和server.xml中的password对应):

openssl pkcs12 -export -in certificate.pem -inkey xxxx.com.key -out certificate.p12

3. 配置liberity服务器

liberity服务器的ssl配置和tomcat服务器的配置是很类似的。
参考:https://www.ibm.com/docs/zh/was-liberty/nd?topic=liberty-ssl-configuration-attributes
https://www.openliberty.io/docs/21.0.0.5/reference/feature/transportSecurity-1.0.html

修改server.xml,加入下面的ssl配置:
p12 文件需要放在/output/resources/security/文件夹下,这里是liberity默认的存储key的位置。

    <!-- SSL -->
    <sslDefault sslRef="izuSSLConfig" />
    <ssl id="izuSSLConfig" keyStoreRef="defaultKeyStore"
        clientAuthenticationSupported="false" sslProtocol="TLSv1.2"/>
    <keyStore id="defaultKeyStore" location="/output/resources/security/certificate.p12" 
        type="PKCS12" readOnly="true" password="xxxxxx" />

4. certificate过期了,进行替换

证书过期了,需要替换。需要在IBM内网,重新生成证书,然后替换。刚开始的想法是想要重新制作镜像,最后发现可以直接使用docker cp命令替换正在运行的容器里面的证书,然后重启容器即可。

docker cp certificate.p12  镜像名:/output/resources/security/  
docker restart 镜像名
simpleGq
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
客户端数字证书(企业CA证书)登陆---------(1)服务器证书申请配置
ASP DOT NET
10-06 4602
在安装Entrust SSL证书前请注意:  ·在生成Certificate Signing Request (CSR)证书请求时,不要在任何地方使用逗号。逗号被认为是输入的结束,可能因此而产生错误的CSR  ·不要在服务器名中使用下列任何符号:! @ # $ % ^ * ( ) ~ ? >   ·请在服务器上以管理员身份登录来生成CSR。密钥和CSR生成指南  在您申请SSL证书过程中,您需要
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书
09-30
主要介绍了Nginx配置SSL证书部署HTTPS网站的方法(颁发证书),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
网络安全—部署CA证书服务器
本散修的一些学习心得与笔记,道友请自便。
01-03 1973
使用windows Server 2003环境。部署CA证书服务器,实现申请、颁发证书
2024年最新网络安全—部署CA证书服务器_ca证书系统的网络配置策略
最新发布
2401_84247559的博客
05-03 973
使用windows Server 2003环境。
Linux 部署CA数字证书服务
weixin_33910385的博客
11-16 1409
CA数字证书服务 CA Certificate Authority 数字证书授权中心 被通信双方信任的,独立的第三方机构 负责证书颁发,验证,撤销等管理 PKI公钥基础设施 一套标准的密钥管理平台 通过公钥加密,数字证书技术确保信息安全 PKI体系的基础组成 权威认证机构(CA) 数字证书库,密钥备份及恢复系统 证书作废系统,应用接口 OpenSSL...
CA数字证书部署
dengcuidouk281517的专栏
01-31 674
CA数字证书 CA,CertificateAuthority 数字证书授权中心 -被通信双方信任的,独立的第三方机构 -负责证书颁发,验证,撤销等管理 部署CA服务器 自定义机构名称与CA服务器主机名 机构名称:xiaoren CA服务器主机名 www.xiaoren.cn 第一步:部署CA证书签署环境 #vim/etc/pki/tls/openssl.cnf...
CA Server证书申请与颁发 & Apache2 HTTPS
Zheng__Huang的博客
10-10 1481
;本文将介绍关于CA Server的相关内容。CA Server搭建与自签名证书创建,实体认证与证书颁发,服务器证书申请与导入。 Apache2 配置HTTPS
SSL证书到期后续费问题
09-16 1302
SSL数字证书是有期限的,最长可以购买两年,到期之后如果还想续费的话就必须重新申请SSL证书,这时候就会有很多问题,比如,ssl证书续费需要手续费吗、ssl证书续费之后怎么安装、必须在SSL证书过期之后才能续费吗等等问题。接下来小编一一回答。 ssl证书续费时需要手续费吗? 当然是不需要的,ssl证书在续费时和正常申请ssl证书一样,只要正常申请你需要的那个证书就可以了,不必交手续费,所有让交手续费的服务商都是骗人的,正规ssl证书服务商给证书续费时不需要缴费的。 ssl证书续费之后该怎
独立部署小程序基于nodejs的服务器过程详解
01-01
完全自定义的部署小程序服务器, 不依托于腾讯云服务器体系. 以阿里云服务器为基础建立. 服务器语言选用nodejs. 目的 实现https基本访问请求 实现会话管理 实现socket长连接 一个基于socket的小游戏 源代码在...
CA服务器配置原理与图解过程.doc
10-04
1. **构建独立根CA服务器**:首先在Server1上安装IIS,然后安装证书服务。安装完成后,客户端可以通过Web浏览器访问服务器IP或主机名/certsrv来申请证书。 2. **颁发证书**:作为CA管理员,登录Server1,通过“管理...
CA(证书颁发机构)服务器配置原理与图解过程
11-09
在实际操作中,可能会建立一个独立根CA服务器(如Server1)和一个独立从属CA服务器(如Server2),并有多个客户端(Client1、Client2、Client3)申请证书配置过程包括在Server1上安装IIS和证书服务,然后在Server2...
1、SSL证书部署
gaolele_92的博客
07-26 6938
SSL证书部署下载得到的 www.domain.com.zip 文件,解压获得3个文件夹,分别是Apache、IIS、Nginx 服务器证书文件, 下面提供了4类服务器证书安装方法的示例:1. Apache 2.x 证书部署1.1 获取证书Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain
自建CA生成证书详解
永远是少年
12-13 6562
今天继续给大家介绍Linux运维相关知识,本文主要内容是自建CA,并对客户CSR进行签名生成证书过程。 一、CA认证中心配置 二、web服务器生成证书请求文件 三、CA认证中心生成证书 四、WEB服务器配置实现https 五、结果验证
申请CA证书
weixin_46044599的博客
03-24 1281
以apache为例,演示申请CA证书过程 1、查看http的钥匙和证书存放位置 [root@redhat7 ~]# vim /etc/httpd/conf.d/ssl.conf 2、生成钥匙和证书 [root@redhat7 ~]# openssl genrsa 1024 > /etc/pki/tls/private/localhost.key [root@redhat7 ~]# openssl req -new -key /etc/pki/tls/private/localhost.k...
基于win server 2003——CA证书服务器安装
MAY的博客
04-15 3312
CA的作用主要包括如下几个方面: 发放证书、用数字签名绑定用户或系统的识别号和公钥规定证书的有效期。通过发布证书废除列表CR确保必要时可以废除证书
Windows下用OpenSSL生成CA证书及签发server端证书
白袍小将的博客
08-14 8821
一、先下载编译好的OpenSSL程序,并展开后放在E:盘,目录结构如下所示 目前放在的目录为:E:\OpensslX64 二、打开一个CMD控制台窗口,设置好openssl.cnf路径 用以下控制台命令进入到E:\OpensslX64\bin,并设置好openssl.cnf路径。 E: cd E:\OpensslX64\bin set OPENSSL_CONF=E:\OpensslX64\conf\openssl.cnf 三、在当前目录E:\OpensslX64\bin 里创建两个...
openssl创建CA并签发证书
健忘16的博客
02-16 3610
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8516
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
ISA发布安全的web服务器.doc
07-05
ISA发布安全的web服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值