https 配置自建ca

最新推荐文章于 2022-10-14 17:38:29 发布
最新推荐文章于 2022-10-14 17:38:29 发布
阅读量118 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36888575/article/details/98641209
版权

  1. https 配置

http over ssl = https 443/tcp

ssl: v3

tls: v1

https://

  1. SSL会话的简化过程
    1. 客户端发送可供选择的加密方式,并向服务器请求证书;
    2. 服务器端发送证书以及选定的加密方式给客户端;
    3.     客户端取得证书并进行证书验正:

如果信任给其发证书的CA:

  1. 验正证书来源的合法性;用CA的公钥解密证书上数字签名;
  2. 验正证书的内容的合法性:完整性验正
  3. 检查证书的有效期限;
  4. 检查证书是否被吊销;
  5. 证书中拥有者的名字,与访问的目标主机要一致;
  1. 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换;
  2. 服务用此密钥加密用户请求的资源,响应给客户端;

注意:SSL会话是基于IP地址创建;所以单IP的主机上,仅可以使用一个https虚拟主机;

回顾几个术语:PKI,CA,CRL,X.509 (v1, v2, v3)

  1. 配置httpd支持https:
    1. 为服务器申请数字证书;

测试:通过私建CA发证书

  1. 创建私有CA
  • 查看配置文件

[root@repo conf]# cat /etc/pki/tls/openssl.cnf | sed ‘/^\[[[:space:]]CA_default/,/# Comment out/p’ –n

  • 创建序列号

[root@repo CA]# touch index.txt

[root@repo CA]# echo 01 > serial

[root@repo CA]# ls

certs crl index.txt newcerts private serial

[root@repo CA]# cat serial

01

  • 创建ca证书

[root@repo CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

[root@repo CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3560 -out /etc/pki/CA/cacert.pem

  1. 在服务器创建证书签署请求
  • 创建服务器私钥

[root@mx2 ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/ns2.cpe.com.key 2048)

  • 生成服务器签署请求

[root@mx2 ssl]# openssl req -new -key ns2.cpe.com.key -days 365 -out ns2.cpe.com.csr

  • 上传到ca服务器

[root@mx2 ssl]# scp ns2.cpe.com.csr root@172.16.31.125:/etc/pki/CA/certs/ns2.cpe.com.csr

  1. CA签证

[root@repo certs]# openssl ca -in ns2.cpe.com.csr -out /etc/pki/CA/certs/ns2.cpe.crt

[root@repo certs]# scp ns2.cpe.crt root@172.16.31.124:/etc/httpd/ssl/ns2.cpe.crt

ns2.cpe.crt

  1. 配置httpd支持使用ssl,及使用的证书;
  • 查看mod_ssl是否安装

[root@mx2 conf.d]# httpd -M | grep “ssl”

  • 安装mod_ssl
  • [root@mx2 ssl]# yum -y install mod_ssl
  • 配置ssl.conf

[root@mx2 conf.d]# vim ssl.conf

[root@mx2 conf.d]# cat ssl.conf | sed ‘/^#/d’ | sed ‘/^$/d’

Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache shmcb:/run/httpd/sslcache(512000)

SSLSessionCacheTimeout 300

SSLRandomSeed startup file:/dev/urandom 256

SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost 172.16.31.124:443>

DocumentRoot “/var/www/html”

ServerName ns2.cpe.com:443

ErrorLog logs/ssl_error_log

TransferLog logs/ssl_access_log

LogLevel warn

SSLEngine on

SSLProtocol all -SSLv2

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

SSLCertificateFile /etc/httpd/ssl/ns2.cpe.crt

SSLCertificateKeyFile /etc/httpd/ssl/ns2.cpe.com.key

<Files ~ “\.(cgi|shtml|phtml|php3?)$”>

SSLOptions +StdEnvVars

</Files>

<Directory “/var/www/cgi-bin”>

SSLOptions +StdEnvVars

</Directory>

BrowserMatch “MSIE [2-5]” \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

CustomLog logs/ssl_request_log \

“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”

</VirtualHost>

  • 重启并查看mod_ssl是否成功加载

[root@mx2 conf.d]# systemctl restart httpd

[root@mx2 conf.d]# httpd -M | grep “ssl”

ssl_module (shared)

  • 客户端安装ca证书

# yum -y install mod_ssl

配置文件:/etc/httpd/conf.d/ssl.conf

DocumentRoot

ServerName

SSLCertificateFile

SSLCertificateKeyFile

  1. 测试基于https访问相应的主机;

浏览器浏览:

# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]

[root@repo CA]# openssl s_client -connect 172.16.31.124:443 -CAfile /etc/pki/CA/cacert.pem

钟明家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字证书实战经验-Openssl自CA中心及签发证书
10-24
2. 创CA证书:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
nginx+ca+https设置【草稿试验版】
一名普通码农的菜地
12-13 2601
添加链接描述
HTTPS证书
阿祥_CSDN
07-13 5623
在做 Web 相关开发的时候,有可能需要在本地搭 https 的环境,而在 https 环境的过程中,需要私钥和证书文件,本文提供自证书的方案供读者参考。
【转】证书安装指引(腾讯云)
weixin_30371469的博客
09-07 994
下载得到的 www.domain.com.zip 文件,解压获得3个文件夹,分别是Apache、IIS、Nginx 服务器的证书文件,下面提供了4类服务器证书安装方法的示例: 1. Apache 2.x 证书部署 1.1 获取证书 Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain.c...
HTTP HTTPSCA证书
l876460925的博客
10-14 1351
要生成证书就需要为服务端生成私钥,并用它来为其提供证书文件 # cd /etc/pki/CACA所需要的文件: # touch index.txt //生成证书索引数据库文件 # echo 00 > serial //指定第一个颁发证书的序列号(00 01 02..) 生成4096位私钥,私钥的文件名与存放位置都要和配置文件的设置相匹配: # (umask 066;openssl genrsa -out private/cakey.pem 4096) 通过私钥生成自签名证书: # o
CAHTTPS
weixin_40262014的博客
02-28 1011
实验环境 环境:ubuntu18.04, firefox70.0.1 (64 位), VMware Workstation, 这里需要说明一下(遇到的坑),ubuntu本人刚开始用的是ubuntu server(因为当时还在学习hadoop),但server是没有图形界面,极其难用。然后我尝试过在server中安装了图形界面,但由于我的电脑配置过低,在server中运行图形界面完全不行,所以推荐安...
CA证书和对应私钥(PEM格式)
04-26
本资源是自的一个CA证书和私钥,可以用于测试https网络安全测试,在服务器端使用此证书配置,终端访问可以实现https访问,其中证书和密钥都是以文件的形式存储,证书的有效期是两年。
CA认证系统实用方案.doc
10-12
CA认证系统是企业在面对日益严峻的网络安全挑战时,为确保信息传输安全、防止身份冒用和数据泄露,以及遵循国家法规政策所采取的重要措施。本文将详细阐述自CA认证系统的背景、必要性和具体实施方案。 一、...
Windows CA 证书服务器配置
10-11
Windows CA 证书服务器配置 在 Windows Server 2003 上配置微软 CA 的图文教程中,我们可以学习到以下知识点: 1. 安装准备:在安装微软 CA 之前,需要安装 IIS 组件,并添加证书服务组件。 2. 证书服务组件的...
SANGFOR_AD_V5.2_自CA方式SSL卸载配置及说明指导书.pdf
09-25
【SSL卸载】功能,将SSL证书的管理与加密计算工作转移到深信服AD设备上。...以上内容是对“SANGFOR_AD_V5.2_自CA方式SSL卸载配置及说明指导书”的概要解析,具体配置细节和技术操作步骤将在实际的指导书中详细阐述。
项目或网站配置https访问CA证书-学习笔记
青春没有彩排丶的博客
10-11 1359
我们在做一些项目或者网站的时候需要配置https,以加强网站的安全性等,记录一下学习之路~ HTTPS认识 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SS...
SSL双向认证以及证书的制作和使用
weixin_30500473的博客
10-26 2733
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务...
私有CA的过程并实现https连接
骑着恐龙看世界的博客
11-07 1808
私有CA并实现https连接的过程
ssl证书进行https访问
u014761412的博客
01-04 4918
生成自证书 生成私钥文件 openssl genrsa -out private.key 1024 # -out 参数指定密钥文件存放的位置和名字,1024是指密钥文件的长度,一般为1024或者2048 生成一个证书请求 openssl req -new -key private.key -out cert_req.csr # 指定密钥密钥文件来生成一个ca请求 # 这个步骤会要求填入...
使用OpenSSL自一个HTTPS服务
Assassin
12-13 1689
1. 理论知识 1.1 什么是https 传统的 HTTP 协议以明文方式进行通信,不提供任何方式的数据加密,很容易被中间攻击者破解通信内容或者伪装成服务器与客户端通信,在安全性上存在很大问题。 HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。 关于非对称加密以及公钥私钥相关知识不在赘述,可自行了解。 PS: TLS 是传输层加密协议,前身是由网景公司1995年发
CA证书搭https服务器
我的博客
12-18 1596
由于CA收费,所以可以自CA,通过将CA导入浏览器实现https的效果,曾经12306购票就需要自行导入网站证书。 关于https 2015年阿里巴巴将旗下淘宝、天猫(包括移动客户端)全站启用HTTPS加密,并顺利通过“双十一”考验,成为全球最大的电商平台全站HTTPS改造案例。 全站HTTPS需要解决3大问题。 首先是性能,主要分三点: HTTPS需要多次握手,因此网络耗时变长,用户...
https证书
am540的博客
04-02 710
CA服务器的立 只有先有CA服务器才能对后续自的网站证书进行颁发和签署 生成CA私钥文件caPrivate.key openssl genrsa -des3 -out caPrivate.key 2048 #为了防止私钥文件被篡改,所以一般都会对其进行权限的限制,要么事先umask要么事后chmod umask 077 chmod 400 caPrivate.key 指令说明openssl genrsa -help genrsa:用于生成RSA密钥对的OpenSSL命令 -des3:用des3加密
软件测试ca,对包含CA认证的应用程序进行性能测试的配置过程
weixin_36414864的博客
07-31 690
1) 首先,在操作系统中安装CA证书.这需要厂商提供一个可以导入到IE中的CA证书文件.CA证书文件在windows下的图标如下图所示:双击,进行安装,显示安装向导,其中有一个步骤是要求填入密码,这个密码随CA证书文件一起提供的.其余步骤,按默认设置即可.最后,系统会显示一个安装成功的信息提示.这个时候,你启动IE,打开'工具>Interner选项',进入'内容'标签页,点击'证书'按钮,会...
CAhttps服务器的方案
最新发布
03-23
您可以使用 OpenSSL 工具来创自己的 CA 和证书,然后使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS。以下是大致的步骤: 1. 创自己的 CA 使用 OpenSSL 工具创自己的 CA,生成私钥和自签名证书。 2. 创...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值