自己成为一个证书颁发机构(CA)

于 2019-05-31 13:36:32 发布 876 收藏 1
文章标签: python 运维 操作系统
原文链接:https://juejin.im/post/5cf12daee51d45108b2cae1a
版权

为你的微服务架构或者集成测试创建一个简单的内部 CA。

传输层安全(TLS)模型(有时也称它的旧名称 SSL)基于证书颁发机构certificate authoritie(CA)的概念。这些机构受到浏览器和操作系统的信任,从而签名服务器的的证书以用于验证其所有权。

但是,对于内部网络,微服务架构或集成测试,有时候本地 CA更有用:一个只在内部受信任的 CA,然后签名本地服务器的证书。

这对集成测试特别有意义。获取证书可能会带来负担,因为这会占用服务器几分钟。但是在代码中使用“忽略证书”可能会被引入到生产环境,从而导致安全灾难。

CA 证书与常规服务器证书没有太大区别。重要的是它被本地代码信任。例如,在 Python requests 库中,可以通过将 REQUESTS_CA_BUNDLE 变量设置为包含此证书的目录来完成。

在为集成测试创建证书的例子中,不需要长期的证书:如果你的集成测试需要超过一天,那么你应该已经测试失败了。

因此,计算昨天明天作为有效期间隔:

>>> import datetime
>>> one_day = datetime.timedelta(days=1)
>>> today = datetime.date.today()
>>> yesterday = today - one_day
>>> tomorrow = today - one_day
复制代码

现在你已准备好创建一个简单的 CA 证书。你需要生成私钥,创建公钥,设置 CA 的“参数”,然后自签名证书:CA 证书总是自签名的。最后,导出证书文件以及私钥文件。

from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import hashes, serialization
from cryptography import x509
from cryptography.x509.oid import NameOID


private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
    backend=default_backend()
)
public_key = private_key.public_key()
builder = x509.CertificateBuilder()
builder = builder.subject_name(x509.Name([
    x509.NameAttribute(NameOID.COMMON_NAME, 'Simple Test CA'),
]))
builder = builder.issuer_name(x509.Name([
    x509.NameAttribute(NameOID.COMMON_NAME, 'Simple Test CA'),
]))
builder = builder.not_valid_before(yesterday)
builder = builder.not_valid_after(tomorrow)
builder = builder.serial_number(x509.random_serial_number())
builder = builder.public_key(public_key)
builder = builder.add_extension(
    x509.BasicConstraints(ca=True, path_length=None),
    critical=True)
certificate = builder.sign(
    private_key=private_key, algorithm=hashes.SHA256(),
    backend=default_backend()
)
private_bytes = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.TraditionalOpenSSL,
    encryption_algorithm=serialization.NoEncrption())
public_bytes = certificate.public_bytes(
    encoding=serialization.Encoding.PEM)
with open("ca.pem", "wb") as fout:
    fout.write(private_bytes + public_bytes)
with open("ca.crt", "wb") as fout:
    fout.write(public_bytes)
复制代码

通常,真正的 CA 会需要证书签名请求(CSR)来签名证书。但是,当你是自己的 CA 时,你可以制定自己的规则!可以径直签名你想要的内容。

继续集成测试的例子,你可以创建私钥并立即签名相应的公钥。注意 COMMON_NAME 需要是 https URL 中的“服务器名称”。如果你已配置名称查询,你需要服务器能响应对 service.test.local 的请求。

service_private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
    backend=default_backend()
)
service_public_key = service_private_key.public_key()
builder = x509.CertificateBuilder()
builder = builder.subject_name(x509.Name([
   x509.NameAttribute(NameOID.COMMON_NAME, 'service.test.local')
]))
builder = builder.not_valid_before(yesterday)
builder = builder.not_valid_after(tomorrow)
builder = builder.public_key(public_key)
certificate = builder.sign(
    private_key=private_key, algorithm=hashes.SHA256(),
    backend=default_backend()
)
private_bytes = service_private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.TraditionalOpenSSL,
    encryption_algorithm=serialization.NoEncrption())
public_bytes = certificate.public_bytes(
    encoding=serialization.Encoding.PEM)
with open("service.pem", "wb") as fout:
    fout.write(private_bytes + public_bytes)
复制代码

现在 service.pem 文件有一个私钥和一个“有效”的证书:它已由本地的 CA 签名。该文件的格式可以给 Nginx、HAProxy 或大多数其他 HTTPS 服务器使用。

通过将此逻辑用在测试脚本中,只要客户端配置信任该 CA,那么就可以轻松创建看起来真实的 HTTPS 服务器。

via: opensource.com/article/19/…

作者:Moshe Zadka 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

weixin_33943836
关注
  • 1
    点赞
  • 1
    收藏 更改收藏夹
  • 0
    评论
Windows配置CA证书颁发机构+NPS-DCServer
新时代先锋的博客
12-28 3万+
Windows配置证书颁发机构+NPS-DCServer
解决无法将这个证书验证到一个受信任的证书颁发机构方法
风若寒
08-24 1万+
第一步,导出证书:点击不安全证书右键---属性---证书---详细信息---复制到文件---下一步---选加密消息语法标准---下一步---输入英文名字---下一步---浏览保存位置---完成。 第二步,安装证书:右击安装导出的扩展名为.p7b的证书,下一步---选将所有的证书放入下列存储---浏览---选受信任的证书颁发机构---下一步---完成 ...
证书颁发机构CA的设计与实现.pdf
07-24
证书颁发机构CA的设计与实现.pdf 资源挺好的。
什么是证书颁发机构CA
weixin_33964094的博客
08-06 4410
数字证书颁发机构(简称CA)是值得信赖的第三方实体颁发数字证书机构并管理为最终用户数据加密的公共密钥和证书CA的责任是确保公司或用户收到有效的身份认证是唯一证书。数字证书颁发机构的工作原理作为公共密钥基础设施(PKI)的一部分,CA在签发数字证书之前使用合格信息源(QIS)来检查申请人提供的数据。CA机构还与第三方合作机构具有紧密的合作关系,如信用报告机构。对申请人的业务以及身份进行认证。CA是...
CA证书的签发与认证
buran的博客
03-19 1269
【实验目的及要求】 实验目的: 学会签发根CA证书,使用根CA证书签发下级证书。 实验要求: 利用OpenSSL提供的命令行工具实现: 生成根CA密钥对、生成自签名的根CA证书; 生成普通个人用户的密钥对,并生成证书请求; 以CA管理员的角色,给上一步生成的证书请求签发个人证书。 【实验环境】 Linux 内核2.6及以上,安装有OpenSSL。 【实验过程】 1)环境准备 1、首先检查系统是否安装openssl,命令行中输入命令 openssl version 如图在命令行中,输出了OpenSSL的
证书颁发机构再也不用更改密码啦!
weixin_33699914的博客
09-06 110
经过一年多的努力,Ballot SC3近日被CA /B论坛一致通过。 这是论坛网络安全工作组提出的网络和证书系统安全要求的第一次重大升级。 它包含几个重要的改进,但其中一个特别重要:删除密码每90天更改一次的要求。 Ballot SC3允许证书颁发机构定期进行强制性密码更改策略,但声明如果没有理由更改它们(如妥协证据),密码必须至少保持有效两年。 许多年前,NIST建议公司要求用户定期更改密码。 ...
centos 配置证书_如何在CentOS 8上设置和配置证书颁发机构CA
08-16 3238
centos 配置证书 介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for ...
安全认证系列之-(三)成为数字认证机构CA
weinichendian的博客
12-26 555
数字证书认证机构(英语:Certificate Authority,缩写为 CA),也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA 机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个...
PKI证书签发系统(web版)新
被世界遗弃的江的博客
09-03 1036
原来的项目进行翻新功能维护 采用新的加密算法和生成证书方式。 pki-new 新版本 一个pki证书申请,审核和证书下载安装的管理系统软件,通过调用java自带的工具,将信息存入数据库,同时也是一个学习ssh框架的好demo,系统采用Java自带的加密算法实现CA证书的签发和发布,采用mvc模式实现证书下载,安装和统一管理。 .新版本特点: (1):采用跨平台方式进行证书生成; (2):优化证书算法 (3):添加动态权限控制 (4):支持异步处理 功能介绍 系统采用java自带秘钥工具生成CA证书,通过
关于证书布置好了出现“无法将这个证书验证到一个受信任的证书颁发机构”及页面内容混搭问题
热门推荐
sebarsunny的专栏
01-04 4万+
<br />证书安装好了出现“无法将这个证书验证到一个受信任的证书颁发机构”问题<br /> <br />SSLCertificateFile "/etc/httpd/conf/server.crt"<br />SSLCertificateKeyFile "/etc/httpd/conf/server.key"<br />SSLCertificateChainFile "/etc/http/conf/SSL_CA_Bundle.crt"<br /> <br />路径需为如上才行。证书存放位置需注意。<br
iOS 发布证书申请
irizhao的专栏
02-26 406
概述  根据这个教程来操作的。http://st.appcan.cn/dev/dev_iosdom.html 由于苹果的机制,在非越狱机器上安装应用必须通过官方的Appstore,开发者开发好应用后上传Appstore,也需要通过审核等环节。AppCan不仅能实现跨平台开发,也支持上传ipa包至Appstore。本文从三个流程来介绍如何通过AppCan在线编译出ipa包并上传至苹果Appst
CA(证书颁发机构)服务器配置图解过程(1)
weixin_34153893的博客
09-25 516
证书服务器图解过程(原理性的内容,请查看CA服务器配置介绍一文[url]http://chensky.blog.51cto.com/177526/37812[/url]) 试验拓扑: 试验内容以及拓扑说明: 试验内容:独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请 试验拓扑说明:图中server1担任独立根CA服务器,server2担任独立从属CA服务器,另外三...
安装.Net Framework 4.6.2时出现“无法建立到信任根颁发机构证书链”解决方法...
weixin_30357231的博客
09-29 2605
在安装Microsoft .NET Framework 4.6.2脱机包时提示 无法建立到信任根颁发机构证书链 实际上是要安装一个证书MicrosoftRootCertificateAuthority2011.cer 下载地址 1.下载证书:MicrosoftRootCertificateAuthority2011.cer2.开始→运行→MMC3.文件→添加删除管理单元 (C...
CA证书颁发机构)配置概述
weixin_34234721的博客
08-10 423
由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。 CA证书颁发机构)主要负责证书颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公...
SSL之CA证书颁发机构安装图文详解
weixin_30245867的博客
08-10 762
上一节我们说到,在验证公钥安全性时,是在CA机构颁发的包含用户的公钥及其身份信息的数字证书,数字证书由权威机构——CA签发。这个CA权威机构可以是自己的服务器也可以是国际公认的CA权威机构。下面我就来讲一下CA证书颁发机构 如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方式,则需要部署CA,关于CA的应用,后续会有几篇文章来专门叙述,本文仅仅介绍CA证书颁发机...
ChinaSkills技能大赛网络系统管理Debian模块||AppSrv的CA证书颁发机构)配置详解
最新发布
Rin_CSDN
07-27 317
​·CA证书路径/csk-rootca/csk-ca.pem;​·签发数字证书颁发者信息(仅包含如下信息)Firefox安装CA证书
什么是证书颁发机构
cumudi0723的博客
07-27 3081
CA证书颁发机构 (CA: Certificate Authority) CA is an abbreviation of the "Certificate Authority". CA是“证书颁发机构”的缩写 。 It is also known as a "certification authority", is a trusted corporation or organizatio...
CA机构介绍(Certificate Authority 域名SSL证书颁发机构)
osfipin note
10-30 4604
SSL证书机构CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。 HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值