通过openssl搭建CA中心并验证签名证书有效

最新推荐文章于 2024-03-28 19:59:56 发布
最新推荐文章于 2024-03-28 19:59:56 发布
阅读量380 收藏
点赞数
原文链接:http://www.cnblogs.com/duanxiongchun/p/3623633.html
版权

在linux下搭建CA中心,并在客户端验证CA签名是否正确:

  在linux上搭建CA中心主要是通过openssl工具包进行的:

  1.ca中心的文件夹结构树

    

demoCA/
|--cacert.pem 
|--certs
|     |--01.pem
|--index.txt     
|--index.txt.attr
|--openssl.cnf
|--private
|      |--cakey.pem
|--serial
|--serial.old

  1.cacert.pem是ca中心自签名证书。

  2.certs是存放呗ca中心签名以后的证书。

  3.index.txt记录ca中心签名记录。

  4.openssl.cnf是CA中心的配置文件。

  5.它确定该ca中心对用户提供的信息的验证方式。

  6.private存放ca中心自己的私钥。

  7.serial记录当前ca签证的编号。

openssl.cnf配置文件内容:

[ ca ]
default_ca    = exampleca

[ exampleca ]
dir        = /opt/demoCA
certificate    = $dir/cacert.pem
database    = $dir/index.txt
new_certs_dir    = $dir/certs
private_key    = $dir/private/cakey.pem
serial        = $dir/serial
default_crl_days    = 7
default_days        = 365
default_md        = sha1
policy            =demoCA_policy
x509_extensions        =certificate_extensions

[ demoCA_policy ]
commonName        = supplied
stateOrProvinceName    = supplied
countryName        = supplied
emailAddress        = supplied
organizationName    = supplied
organizationalUnitName    = optional

[ certificate_extensions ]
basicConstraints    = CA:false

[ req ]
default_bits        = 2048
default_keyfile        = /opt/demoCA/private/cakey.pem
default_md        = sha1

prompt            = no
distinguished_name    = root_ca_distinguished_name
x509_extensions        = root_ca_extensions

[ root_ca_distinguished_name ]
commonName        = Example CA
stateOrProvinceName    = BeiJing
countryName        = CN
emailAddress        = duanxiongchun@gmail.com
organizationName    = Root duan
organizationalUnitName    = duan CA
[ root_ca_extensions ]
basicConstraints = CA:true

创建CA中心的密钥 

openssl genrsa -des3 -out demoCA/private/cakey.pem 2048

创建CA的证书请求文件 

openssl req -new -days 365 -key  ./demoCA/private/cakey.pem -out careq.pem

创建CA的自签名证书 

openssl ca -selfsign -in careq.pem -out demoCA/cacert.pem -config demoCA/openssl.cnf

这样我们现在就已经有了CA中心的证书和密钥了,接下来我们需要使用CA中心的密钥签名其他服务或者个人的证书

创建用户的密钥 

openssl genrsa  -des3 -out userkey.pem 1024

创建用户的证书请求文件 

openssl req -new -days 365 -key userkey.pem -out userreq.pem

用CA的密钥和配置文件签证用户证书 

openssl ca -in userreq.pem -out usercert.pem -config demoCA/openssl.cnf

使用被签证的用户证书加密信息 

openssl rsautl -encrypt -certin -inkey usercert.pem -in test.txt -out test.cipher

使用用户密钥解密信息

openssl rsautl -decrypt -inkey userkey.pem -in test.cipher -out test.crts

验证用户签名有效 

openssl verify -CAfile demoCA/cacert.pem usercert.pem


 

转载于:https://www.cnblogs.com/duanxiongchun/p/3623633.html

weixin_30485379
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl证书链的校验过程
知识需要积累。
02-06 8692
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
openssl制作证书
zqj1172102457的博客
04-20 237
搭建制作证书的环境 新建一个证书制作的测试目录,比如mycerts 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息 /home/mycerts # mkdir demoCA 创建demoCA/newce...
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8504
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
openssl验证
m0_46665077的博客
04-22 4661
openssl验证书到期时间 openssl验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
使用OpenSSL工具验证证书
最新发布
Htojk的博客
03-28 1287
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书有效期等信息。以上命令将检查证书签名链是否可以追溯到根证书,并给出验证结果。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
总结来说,OpenSSL 提供了生成和管理SSL证书的全套工具,通过创建CA证书、服务器证书和客户端证书,我们可以实现SSL单向认证和双向认证,从而确保网络通信的安全。理解并熟练运用这些命令,对于任何需要处理加密通信...
CA证书生成工具OpenSSL
07-13
OpenSSL可以生成CA证书,这对于企业或个人搭建自己的内部PKI系统至关重要。以下是一些使用OpenSSL生成CA证书的步骤和相关知识点: 1. **生成私钥**:首先,你需要使用OpenSSL生成一个私钥,这是所有证书的核心。...
OpenSSL安装包,可用于HTTPS,鉴权证书生成
06-10
OpenSSL工具可以用来生成自签名证书或者CSR(Certificate Signing Request),然后可以提交给权威的证书颁发机构(CA)签署,得到公信力的证书。 4. **OpenSSL命令行工具**:OpenSSL软件包不仅包括库文件,还提供了...
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
私有证书权威机构(CA)的搭建及其在Tomcat和Springboot中的应用是网络安全和身份验证的重要环节。本文将详细阐述这一过程。 首先,我们理解一下CA的基本概念。CA证书权威机构,它负责签发和管理数字证书,确保...
搭建nginx+php+openssl+thinkphp时使用的证书
10-19
搭建过程中,我们可能需要使用OpenSSL来生成自签名证书或从权威的证书颁发机构(CA)获取证书。 **步骤**: 1. **生成私钥**:使用OpenSSL的`genrsa`命令生成RSA私钥。 2. **生成证书签名请求(CSR)**:使用...
openssl 证书验证
swj9099的博客
08-05 6073
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
TLS/SSL(五) 基于 openssl 实战验证 RSA
wzj_110的博客
09-22 121
课程设计: 首先会总体介绍TLS协议包含哪些部分,然后从对称加密进行介绍,会重点讲解AES算法,而传递对称加密算法的密钥是一个比较困难的事情,我们以此为契机开始介绍非对称加密算法,以及DH和椭圆曲线中是怎样传递密钥的。重点: curl 关于 tls/ssl 的相关选项 --> curl的版本与tls/ssl 关系,默认的行为等?2) 保密性 --> 如果有第三个人拿到传输的信息,他也获取不了实际传输的明文是什么。1)握手中的密钥交换,生成对称加密中所要使用的密钥,采用ECDHE这样的算法。
OpenSSL RSA 加密/解密 签名/验签 自签名证书
panshiqu的专栏
08-30 970
生成私钥 导出公钥 加密 解密 签名 验签 自签名证书 注: * Mac中的OpenSSL是LibreSSL * 自签名常会用在内网提供HTTPS服务 * 验签用在支付成功后验证第三方通知的消息 * 现在应该流行 genpkey、pkey、pkeyparam、pkeyutl 相关命令 * 加密分为 对称(加解密使用相同密钥) 和 非对称(加解密使用不同密钥) * 私钥加密公钥解密是没有意义的,公钥是公开的,很多人持有,达不到加密的意义......
通过openssl验证ssl证书匹配性
热门推荐
huakai_sun的博客
08-18 1万+
背景:SSL证书是private key + public key一起工作才能完成加密过程的。 大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息,通过public key密码的报文只能通过server端安装的SSL certificate key pair中的private key才能进行解...
openssl之数字证书签名CA认证原理及详细操作
u013322876的博客
07-02 9058
http://blog.sina.com.cn/s/blog_cfee55a70102wn3h.html openssl之数字证书签名CA认证原理及详细操作   (2016-03-23 09:42:39) 转载▼ 标签:  rsa   ca认证   php签名   非对称加密技术 分类: 软件设计
OPENSSL X509证书验证
在线笔记
10-08 6627
步骤: 1)初始化环境 a.新建证书存储区X509_STORE_new() b.新建证书校验上下文X509_STORE_CTX_new() 2)导入根证书 a.读取CA证书,从DER编码格式化为X509结构d2i_X509() b.将CA证书导入证书存储区X509_STORE_add_cert() 3)导入要校验的证书test a.读取证书test,从DER编码格式化为X5
CA数字证书构成及验证过程及openssl生成证书
shy871的博客
06-04 882
CA数字证书的构成与生成过程 网站信息+网站公钥 ==== hash算法 == 》 摘要 ===== CA私钥加密 ====== 》数字签名 网站公钥+网站信息+数字签名========== 构成 ===========》数字证书 客户端B访问服务端A证书校验过程 Client B======== 访问 ===========》服务端A(返回给B自己的数字证书) Client B: 1)判别证书有效性,证书有效期,证书颁发机构,证书是否被吊销(需连通CA校验CRL,CRL有效期,超过有效期浏览器或者服
基于 OpenSSLCA 建立及证书签发
先做个码农
01-09 408
转自http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/ 建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于/usr/ssl/openssl.cnf 内,详情可参见 config (1) 。在终端中使用如下命令建...
openssl签发ca签名证书
04-04
以下是使用OpenSSL签发CA签名证书的步骤: 1. 生成私钥文件: ``` openssl genpkey -algorithm RSA -out ca.key ``` 2. 生成自签名证书请求文件: ``` openssl req -new -key ca.key -out ca.csr ``` 在此过程中,您需要输入一些信息,如国家/地区代码、省/市、组织、Common Name等。Common Name应设置为您的CA的名称。 3. 签发自签名证书: ``` openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` 此命令将使用您的私钥文件签署证书请求文件,并生成自签名证书。在此过程中,您需要设置证书有效期限和其他信息。 4. 验证证书: ``` openssl x509 -noout -text -in ca.crt ``` 此命令将显示证书的详细信息,并验证证书是否有效。 完成了这些步骤后,您就可以使用您的CA证书进行其他证书的签发和验证了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值