实验:建立私有CA,并实现颁发证书(20190123 下午第一节)

最新推荐文章于 2022-12-15 17:25:21 发布
最新推荐文章于 2022-12-15 17:25:21 发布
阅读量480 收藏
点赞数
文章标签: 开发工具 devops
原文链接:http://blog.51cto.com/14128387/2346208
版权

证书的申请过程:

centos6是需要证书服务的主机 centos7为服务器

1、建立CA
1、[root@centos7 ~]# tree /etc/pki/CA
/etc/pki/CA
├── certs
├── crl
├── newcerts
├── private
[root@centos7 ~]# cd /etc/pki/CA
[root@centos7 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048 )  :用umask 077/066权限来保证安全,此时已生成私钥文件
[root@centos7 ~]# tree
|── certs
├── crl
├── newcerts
├── private
│   └── cakey.pem
此时cakey.pem 文件生成,权限为066
2、[root@centos7 CA]# openssl req -new -x509 -key privavte/cakey.pem -out cacert.pem -days 3650
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu
Organizational Unit Name (eg, section) []:devops
Common Name (eg, your name or your server's hostname) []:www.magedu.com
Email Address []:admin@www.magedu.com
此处需要填写登记信息,1;2;4项需要和后面的一样

[root@centos7 CA]# cat cacert.pem 此处生成了cacert.pem文件 可以用openssl x509 -incacert.pem -noout -text 以文本方式展示,也可以sz到windows中 更改为crt后缀,即可在桌面查看

2、申请证书

将软件中用到的证书和私钥存放在某个目录中

A、先生成私钥:[root@centos6 data]# (umask 066;openssl genrsa -out /test/app.key 1024)
B、然后生成证书申请:[root@centos6 data]# openssl req -new  -key  /test/app.key -out /test/app.csr 
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu
Organizational Unit Name (eg, section) []:devops
Common Name (eg, your name or your server's hostname) []:www.magedu.com
Email Address []:admin@www.magedu.com
此处需要填写登记信息,1;2;4项需要和前面的一样   此处生成了文件app.csr

C、然后把app.csr传到centos7上审核 若通过就能颁发证书:scp app.csr 192.168.93.254/etc/pki/CA 输入centos7的密码即可完成 (放此目录中比较方便)
此时去颁发证书会报错,如下:
[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100
/etc/pki/CA/index.txt: No such file or directory
/index.txt:是存放证书的编号,主题,状态等的文件
D、[root@centos7 CA]# > index.txt 将此文件建立起来,会利用该文件自动填充证书的信息
此时去颁发证书会报错,如下:
[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100
因为缺少编号 系统不知该从哪号开始
[root@centos7 CA]# echo 09 > serial 设置编号从09开始,顺便将文件建立起来
Cat serial --> 09

3 、颁发证书
E、[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100
Certificate is to be certified until May  4 02:59:37 2019 GMT (100 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
此处有两次确认信息,是否要颁发证书
F、[root@centos7 CA]# tree  此为生成证书效果图  
.
├── app.csr
├── cacert.pem
├── certs
│   └── app.crt
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old
├── newcerts
│   └── 09.pem
├── private
│   └── cakey.pem
├── privkey.pem
├── serial
└── serial.old
G、[root@centos7 CA]# cat index.txt
V   190504025937Z       09  unknown /C=CN/ST=beijing/O=magedu/OU=beiguo/CN=www.magedu.com/emailAddress=admin@magedu.com    表明此证书文件有效
[root@centos7 CA]# cat serial    ---> 0A 此处为09后的下一个数
Certs/app.crt  与  newcerts/09.pem  一样  后者为自动生成
此时,将证书文件,私钥文件,CA的证书文件传给用户centos6,用户即可使用。
H、[root@centos7 CA]# scp certs/app.crt 192.168.93.253:/data
root@192.168.93.253's password: 
app.crt          100% 3883     4.0MB/s   00:00
J、 [root@centos6 data]# ll
total 28
-rw-r--r--  1 root root  3883 Jan 24 11:22 app.crt
-rw-r--r--  1 root root   704 Jan 24 10:24 app.csr
-rw-------  1 root root   891 Jan 24 10:22 app.key
 此处app.key 为原来的私钥,app.crt 为生成的证书,app.csr 文件就没用了,申请完就没用了。所以 app.key,app.crt 就能给需要加密的软件使用了

K、将centos7上/CA文件中的:-rw-r--r-- 1 root root 1436 Jan 24 10:14 cacert.pem 该证书文件也拷贝到centos6中,因为某些软件会用到
到此证书已申请完成
L、[root@centos7 CA]# sz certs/app.crt 可以将之sz到windows桌面查看,因为是crt后缀,即可双击打开,因为证书无法验证,所以我们要导入到进去,双击按照步骤即可完成。

4、吊销证书:
可以先查看证书状态:
Openssl x509 -in certs/app3.crt -noout -subject/-issuer/-dates等等
[root@centos7 CA]#  Openssl ca -revoke newcerts/0B.pem
Openssl ca -status 0B    ---> 0B=revoke   标明0B证书已被吊销  此时证书只有自己知道吊销,别人不知道,所以要生成吊销列表,
Openssl ca -gencrl -out crl.pem
将报错,找不到/etc/pki/CA/crlnumber   该文件存放吊销编号
Echo 09 > crlnumber
Openssl ca -gencrl -out crl.pem      此时已生成吊销列表,
Tree  -->  会显示新的crl.pem的列表,  此时可将crl.pem传出windows  修改格式后即可查看
最后要传到互联网,让用户知道该证书已吊销。

若吊销错误,取消吊销,方法:

Mv index.txt  index.txt.bak
Mv index.txt.old  index.txt
Openssl ca -statys 0B    ---> 0B =Valid   标明 0B证书成功恢复

Openssl  verify - CAfile cacert.pem  certs/app.crt

该命令是查看该证书app.crt是否是我颁发的,检验证书的有效性,若是,即可显示OK,

总结步骤:

1、cd /etc/pki/CA
(umask 077;openssl genrsa -out private/cakey.pem 2048 )
openssl req -new -x509 -key  private/cakey.pem -out cacert.pem -days 3650
> index.txt
echo 09 > serial
2 申请证书
(umask 066;openssl genrsa -out /test/app.key 1024)
openssl req -new  -key  /test/app.key -out /test/app.csr
3 颁发证书
openssl ca -in /test/app.csr  -out /etc/pki/CA/certs/app.crt -days 100
此时,将证书文件,私钥文件,CA的证书文件传给用户centos6,用户即可使用。
4 吊销证书
openssl ca -revoke newcerts/0B.pem
openssl  ca -status 0B
echo 09 > crlnumber
openssl ca -gencrl -out /etc/pki/CA/crl.pem

若前文中的1,2,4,三项不一致,出现的问题分析,(在同一计算机就可实验)如下:
1、先生成新的私钥文件: (umask 066;openssl genrsa -out /data/app2.key 1024)
2、然后生成证书申请:openssl req -new -key /data/app2.key -out /data/app2.csr
将登记信息故意填的不一样,此时,/data/下生成了两个文件,app2.csr app2.key
3、颁发证书: openssl ca -in /data/app2.csr -out certs/app2.crt -days 200
此时,报错信息为,组织机构是不一样的,
解救方法:
修改配置文件,vim /etc/pki/tls/openssl.cnf 将1,2,4,三项改为不一样即可。将证书从新写一遍即可,打开tree ---> 会显示:cat serial 变为0B ; cat index.txt 将显示两行 表明该文件生成了第二个数据,即新的证书申请成功! 

注意:若提交一个证书申请,不能够颁发多次,因为在/CA中,cat index.txt.attr  中会显示 “unique_subject -yes” 标明主题必须唯一,所以不可颁发多次。   将“yes” 改为“no”即可,颁发多次。因为他是工作目录,优先级比配置文件的高,所以只有修改此处的文件,vim  index.txt.attr 将yes改为no,才可做到颁发多次的目的。

转载于:https://blog.51cto.com/14128387/2346208

weixin_34067049
关注
哈工大密码学实验CA证书认证系统)
沈子鸣
01-14 8282
前言 本文是哈工大17级密码学原理与实践课程的实践部分(CA证书认证系统)实验报告,由于本实验代码中包含了数据库部分,每个人的电脑配置环境也不一样,所以,提供的参考代码不会直接运行成功,但给大家提供了写实验的一些思路。本实验报告是最终版,非常详尽。 本文仅供参考。希望各位学弟学妹认真对待实验,在学习时间充足的情况下,借此大大提高自己的编程能力。 待代码资源审核通过后,会将代码的下载地址放在这里。 ...
建立私有CA实现证书申请颁发
你是遥远的星河
02-04 2817
CA证书 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书 服务器证书 用户证书 获取证书两种方法: 自签名的...
CA认证的具体实验步骤
weixin_33768481的博客
04-11 728
博文目录CA认证的配置文件是/etc/pki/tls/opensl.cnf服务器的操作1.进入/etc/pki/CA下创建index.txt,serial,crlnumber这三个文件 并为为创建记录证书文件和吊销证书文件给予编号 [root@centos6~]#cd/etc/pki/CA [root@centos6CA]#tou...
数字证书实验-CA
weixin_34198583的博客
08-11 584
一.作为证书服务器 首先要保证时间的准确 R3(config)#clock timezone GMT +8 R3#clock set 14:00:00 10 Aug 2009 R3(config)#ntp master 申请端的时间同步设置 R2(config)#clock timezone GMT +8R2(config)#ntp server 123.1...
CA系统应用实验
weixin_42327834的博客
12-04 1262
实验目的】 (1)通过实验深入理解PKI系统的工作原理,了解数字证书CA系统的主要功能和工作; (2)通过运用SSH和SSL进行数据加密实验,使读者理解和掌握SSH和SSL的加密原理同时掌握对应用层协议进行安全传输的技术。 【实验仪器】 (1)需要安装Windows 2000 Server操作系统的一台计算机以及与其联网的一台Windows 2000计...
信息安全实验CA的安装与使用实验】(独立根)
学信安技术 卫国家之门
11-18 6182
文章目录实验目的实验环境实验原理实验内容实验步骤 实验目的 (1)利用Windows server提供的“证书服务”组件为用户颁发证书。 (2)通过用户申请数字证书及服务器端签发证书,加深对PKI理论(重点是CA的功能)的理解。 实验环境 Win 7 ip:192.168.(可以不用设置静态ip) Win server 2008 设置静态ip:192.168. (注意VMnet8网卡网段) 实验原理 实验内容 实验步骤 ...
建立私有CA实现证书颁发脚本
你是遥远的星河
02-07 269
建立私有CA实现证书颁发脚本 #!/bin/bash read -p "指定CA证书名称" NAME #安装expect命令 rpm -q expect &> /dev/null || yum -y install expect &> /dev/null #创建所需文件 if [ ! -d /etc/pki/CA ]; then mkdir -p /etc/pki/...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1459
CA证书 CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
建立私有CA为用户颁发证书
刚从Notion笔记搬家,保持更新
02-14 364
1️⃣建立CA CA服务器端: 进入cd /etc/pki/CA,生成私钥:(umask 077;openssl genrsa -out private/cakey.pem 4096) 生成成功: 生成自签名证书(-x509:表示自签名证书):openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 生成成功: 查看证书内容:openssl x509 -in cac
192.168.1.253手机上打不开的解决办法
10-01
主要介绍了192.168.1.253手机上打不开的解决办法,192.168.1.253是TP-Link、水星和迅捷等迷你无线路由器的设置地址,本文讲解在手机打不开该设置界面的解决方法,需要的朋友可以参考下
信安实验一:自建CA搭建https
最新发布
weixin_43211479的博客
12-15 932
利用openssl自建CA,再用apache2搭建https
证书服务器CA的搭建和管理
weixin_33958585的博客
09-26 2335
很多时候,我们希望在使用互联网的时候,我们的通信是受到保护的,而在互联网上活动时使用最多的莫过于使用网站了,所以我们就需要考虑如何加密使用网站的过程中所传送的消息,htts加密协议的出现解决了我们的困扰,而htts协议是基于证书的方式实现的,那如何用证书来保护我们在网站上所传送的消息了,要想使用证书,要么向互联上的专业证书机构去申请证书,要么自己搭建证书服务器(CA)...
openssl生成CA证书
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
网络安全-PKI实验
zdsxc_的博客
10-21 5357
通过本次PKI实验的学习,我对加密解密、数字签名、以及其中的顺序和理念有了深入的了解,密码学也是非常重要的基础,安全不仅仅是个人的安全,更是国家的安全,通过以学习PKI加密的实验,再进行公钥认证的原理和流程的学习,也让我对这套加密体系有了深入的理解,收获很多。
加密与安全部分 实验及知识点
weixin_33906657的博客
01-27 539
1、实验:A,B,C三台主机,A通过B连接通CA:centos7(192。168.93.254)B:centos6(192.168.93.253)C:R1(192.168.93.200)首先假设 C主机做过防火墙策略,禁止被A直接连接通Iptables -A INPUT -s (A的IP) -j REJECT[root@R ~]# iptables -A INPUT -s 192.16...
实验:创建私有CA证书颁发
qq_39526788的博客
09-10 353
准备两台主机。本次实验使用的是两台主机。 一台为根CA,一台为客户端。1. 以下需要创建俩个文件,路径:touch /etc/pki/CA/index.txt echo 01 >/etc/pki/CA/serial注意:创建文件格式必须是安照这样写。 第一个文件是生成证书索引数据库文件。 第二个是指定第一个颁发证书的序列号。 2. 在创建私有CA的主机上创建私有密钥及生成证书。生成秘钥
利用Python3的dpkt库进行ARP扫描
weixin_30875157的博客
06-20 631
背景 正在学习网络协议,用Python写起来方便点,可以快速熟悉协议本身,也给自己补充一些Python库。 偶然看到这篇文章,讲的是Python发ARP包,发现是Python2的,这里改了一下,用Python3实现。 环境 Ubuntu 18.04 +Python 3.6.5 + dpkt 1.9.1 网络相关信息见代码部分。 代码 #!/usr/bin/pyt...
到新公司如何使用Gitlab拉取项目?(新手试用,从未使用过gitlab的小白总结经验)
热门推荐
newguy411的博客
04-28 4万+
本人git小白一个,原来公司都用svn协同开发,完全没有使用过git,gitlab。由于新公司使用gitlab所以也是硬着头皮摸索,整理了当时使用的方法,希望能够给其他的同命相连的coder一个经验参考。 目录 1.先注册gitlab账号,注册成功之后登陆 2.点击头像选择settings 3.若要拉取代码需要sshkey的认证 4.如何获取SSH Keys? (1)右键打开git b...
使用OpenSSL创建私有CA证书安全实践
此外,私有CA还支持客户端证书实现双向验证,这在处理敏感Web应用时能显著提升安全性。 运行私有CA时,安全性的维护是关键。根密钥,作为信任的基础,必须被离线妥善保管,因为所有证书的安全性都依赖于它。另一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值