自建CA,并搭建https服务

最新推荐文章于 2022-12-15 17:25:21 发布
最新推荐文章于 2022-12-15 17:25:21 发布
阅读量676 收藏 2
点赞数 3
分类专栏: SSL 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38885346/article/details/111464636
版权

参考自https://help.ubuntu.com/community/OpenSSL#SSL_Certificates

实验环境:Ubuntu 18,ssl1,1,1,Firefox

整个实验过程就是:
1.构建CA
2.创建CA自签名的根证书,与CA密钥
3.构建服务器证书
4.用CA对服务器证书签名
5.将CA根证书导入到浏览器中

如果您以前安装了 OpenSSL 工具包,X.509 SSL 证书的生成非常简单。对于自签名证书,您必须首先按照以下步骤建立证书颁发机构 (CA):

创建证书颁发机构
首先,创建初始工作环境,例如在主目录中,输入以下命令:

cd && mkdir -p myCA/signedcerts && mkdir myCA/private && cd myCA
//mkdir -p :递归创建目录,即使上级目录不存在,会按目录层级自动创建目录

上述命令将您放在名为myCA目录中,在此目录中,应有两个名为signedcerts 和private 的附加目录。

在此初始工作环境中,子目录及其内容的意义如下:

/myCA :包含 CA 证书、证书数据库、生成的证书、密钥和请求

/myCA/signedcerts 证书:包含每个签名证书的副本

/myCA/private :包含私钥

接下来,在~/myCA子目录中创建初始证书数据库,在终端提示符下使用以下命令:

root@hb-virtual-machine:~/myCA# echo '01' > serial && touch index.txt

//创建index.txt,创建serial,并往里面写入01

现在创建一个适合创建 CA 证书的初始caconfig.cnf文件。使用您最喜爱的编辑器编辑文件/myCA/caconfig.cnf,并将以下内容插入到文件中:

vim caconfig.cnf

# My sample caconfig.cnf file.
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca      = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir             = /home/{
   username}/myCA
certificate     = $dir/cacert.pem
database        = $dir/index.txt
new_certs_dir   = $dir/signedcerts
private_key     = $dir/private/cakey.pem
serial          = $dir/serial
#       
#
# Default expiration and encryption policies for certificates.
#
default_crl_days        = 365//365天发布一次证书吊销列表
default_days            = 1825//默认颁发证书的有效期
default_md              = sha256//默认加密算法,最好选sha256,高版本的ubuntu用sha1会出错
#       
policy          = local_ca_policy
x509_extensions = local_ca_extensions
#
#
# Copy extensions specified in the certificate request
#
copy_extensions = copy
#       
#
# Default policy to use when generating server certificates.  The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName              = supplied
stateOrProvinceName     = supplied
countryName             = supplied
emailAddress            = supplied
organizationName        = supplied
organizationalUnitName  = supplied
#       
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
basicConstraints        = CA:false
#       
#
# The default root certificate generation polic
最低0.47元/天 解锁文章
太阳不绕地球转
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CA搭建HTTPS
weixin_40262014的博客
02-28 1008
实验环境 环境:ubuntu18.04, firefox70.0.1 (64 位), VMware Workstation, 这里需要说明一下(遇到的坑),ubuntu本人刚开始用的是ubuntu server(因为当时还在学习hadoop),但server是没有图形界面,极其难用。然后我尝试过在server中安装了图形界面,但由于我的电脑配置过低,在server中运行图形界面完全不行,所以推荐安...
Nginx搭建https服务器教程
01-10
HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单...大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证
springboot启动时开启https协议
chaogaoxiaojifantong的博客
09-17 333
cd到jdk的bin目前 .\keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p1 -validity 3650 记住输入的密码 1.-storetype 指定密钥仓库类型 2.-keyalg 生证书的算法名称,RSA是一种非对称加密算法 3.-keysize 证书大小 4.-keystore 生成的证书文件的存储路径 5.-validity 证书的有效期 将生成
https 配置自ca
钟明家
03-12 118
https 配置 http over ssl = https 443/tcp ssl: v3 tls: v1 https:// SSL会话的简化过程 客户端发送可供选择的加密方式,并向服务器请求证书; 服务器端发送证书以及选定的加密方式给客户端; 客户端取得证书并进行证书验正: 如果信任给其发证书的CA: 验正证书来源的合法性;用CA的公钥...
openssl 自CA签发证书 网站https的ssl通信
weixin_34162695的博客
03-27 195
<<COMMENTX509 文件扩展名 首先我们要理解文件的扩展名代表什么。DER、PEM、CRT和CER这些扩展名经常令人困惑。很多人错误地认为这些扩展名可以互相代替。尽管的确有时候有些扩展名是可以互换的,但是最好你能确定证书是如何编码的,进而正确地标识它们。正确地标识证书有助于证书的管理。 编码 (也用于扩展名) # DER=扩展名DER用于二进制DER编码的证书。这些证书...
Openssl:构CA的过程并实现web服务基于https访问的网络架构
weixin_34153893的博客
04-18 110
本文环境 RedHat 5.8 本博文主要内容:加密算法、CA介绍和配置等、web利用CA认证构https安全传输 1、在互联网上数据额传输有两种:明文传输和加密传输。明文传输的协议有:ftp、http、smtp、telnet。但是为了数据的完整性和安全性,所以后来引用了加密等相关手段来保证数据的安全和完整性。 2、数据的机密性: 为了保证我们传输的数据不让第三方看...
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
搭建一个私有CA,使用到不同组件中,并进行测试。 博客会有最新版https://blog.csdn.net/u013256012/article/details/103583868 如果只是1个tomcat服务和浏览器之间使用HTTPS,那么只需要在tomcat的密码库添加...
CA证书和对应私钥(PEM格式)
04-26
本资源是自的一个CA证书和私钥,可以用于测试https网络安全测试,在服务器端使用此证书配置,终端访问可以实现https访问,其中证书和密钥都是以文件的形式存储,证书的有效期是两年。
数字证书实战经验-Openssl自CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
GMSSL自CA证书
最新发布
03-28
GMSSL自CA证书 一步一步来 助您成功
使用OpenSSL自CA + Nginx配置HTTPS
aimianwo1708的博客
08-25 490
Ubuntu 16.04(ECS),OpenSSL1.0.2g 1 Mar 2016,Nginx1.10.3 (Ubuntu), 浏览器:Chrome 67,Firefox 61,Edge 40,IE 11 序言 孤之前从来没有立过HTTPS网站,感觉很高级、很难,虽然也读过不少博文、资料,十年前在大学时,也使用过OpenSSL操作过立证书,但后来都忘记了。 前同...
证书配置HTTPS服务
热门推荐
我的专栏
07-19 3万+
说明 1、写这篇博客的初衷是因为最近iOS9出来了,苹果官方默认要求使用HTTPS,所以自己想整一个HTTPS服务器,也想好好了解一下HTTPS通信,也知道了HTTPS其实就是在HTTP的基础上加上了SSL/TLS。具体想了解SSL/TLS原理的请浏览SSL/TLS协议运行机制的概述和SSL/TLS原理详解。中途看了很多博客,也花了不少时间,所以想记录一些东西。 2、这篇博客的内容主要
CA认证服务器和https服务
weixin_33912638的博客
02-28 1120
如何搭建一个企业CA证书服务器?定义系统环境:centos7.4ca.com 192.168.80.181 openssl*mail.com 192.168.80.182 dovecot*client.com 192.168.80.183 mutt*修改三台主机名:①hostnamectl set-hostname xx.comexit 登出重新连...
OpenSSL实现 CA 的过程
weixin_34310785的博客
08-03 125
如何利用 OpenSSL 来实现自制 CA 服务器呢? 这种情况下一般在一个公司内部可用到这种机制。一、实现自 CA 的大致流程大致操作流程如上图所示。二、自 CA 的详细操作流程第一步:自 CA 服务器1、生成秘钥[root@centos6-5~]#(umask077;opensslgenrsa-out/etc/pki/CA/private...
Openssl配置CA证书及https访问
weixin_30951743的博客
09-24 1207
一、创根秘钥对 1.创目录 cd mkdir /root/ca cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 > serialtouch openssl.cnf 2.编辑openssl配置文件openssl.cnf,将...
立自己的CA,签署自己的服务器证书,配置自己的https站点
wqs1106的博客
09-27 1118
一、目标 从头开始配置一个自己的https站点,并让本机浏览器信任站点。 二、商用步骤 1. 创自己的私钥 2. 创CSR(Cerificate Signing Request) 3. 发送CSR给CA,获取证书文件 4. 部署私钥和证书文件到服务器端,完成https站点的配置。 三、实验步骤 由于CA签署证书文件需要一定的条件(时间,金钱),在实验阶段不太切合实际。所以实验或...
搭建CA认证中心及搭建https实战
qq_42170102的博客
03-25 7006
CA证书客户端及使用nginx搭建https 一、CA简单介绍CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。 二、OpenSSL实现CA证书认证中心的搭建 1、搭建环境 本文使用centos7 2~3台
信安实验一:自CA搭建https
weixin_43211479的博客
12-15 703
利用openssl自CA,再用apache2搭建https
CentOS 7 搭建CA认证中心实现https取证
a790308的博客
08-07 2901
CA认证中心简述 CA :CertificateAuthority的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书 功能:证书发放、证书更新、证书撤销和证书验证。 作用:身份认证,数据的不可否认性 端口:443 证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密...
CA搭建https服务器的方案
03-23
您可以使用 OpenSSL 工具来创自己的 CA 和证书,然后使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS。以下是大致的步骤: 1. 创自己的 CA 使用 OpenSSL 工具创自己的 CA,生成私钥和自签名证书。 2. 创服务器证书 使用 OpenSSL 工具创服务器证书,将其签名并与私钥一起存储。 3. 配置 Web 服务器 使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS,将服务器证书和私钥配置到服务器上。 4. 配置客户端 将 CA 证书安装到客户端上,以便客户端可以验证服务器证书的有效性。 以上是大致的方案,具体实现细节可以参考相关文档或教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值