ca证书 linux 导入_Linux CA证书服务器搭建

最新推荐文章于 2023-06-10 16:32:03 发布
最新推荐文章于 2023-06-10 16:32:03 发布
阅读量1.4k 收藏 3
点赞数
文章标签: ca证书 linux 导入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39612677/article/details/111538892
版权
这篇博客详细介绍了在Linux系统中搭建CA证书服务器的过程,包括安装openssl,修改openssl.cnf配置,创建证书目录,安装dovecot,生成dovecot证书,使用mutt测试,生成新的RSA密钥对,签署证书,吊销证书以及在Firefox中导入CA证书和吊销列表的操作步骤。
摘要由CSDN通过智能技术生成

Lab3.1

准备环境:

安装openssl工具

yum install –y

openssl

修改/etc/pki/tls/openssl.cnf将

dir

= ../../CA修改为/etc/pki/CA --指定工作的根目录(这里只要修改成/etc/pki/CA就可以了,也可以使用相对路径)

certificate =

$dir/newcerts

修改为$dir/my-ca.crt --证书文件所在的位置(公钥)

crl =

$dir/crl.pem修改为$dir/my-ca.crl

--证书吊销列表

private_key =

$dir/private/cakey.pem 修改为$dir/private/my-ca.key

修改生成证书时的默认值

修改为

在/etc/pki/CA文件夹中创建/etc/pki/tls/openssl.cnf中定义的目录

mkdir

/etc/pki/CA/certs crl newcerts

创建索引文件和序列号文件

产生私钥并修改权限为600

touch

/etc/pki/CA/index.txt

echo

01 > /etc/pki/CA/serial

lab3.2

安装dovecot

yum

install –y dovecot

修改/etc/dovecot.conf配置文件修改为使用加密的协议

将protocols = pop pop3s imap imaps修改为

protocols=imaps(将前面的注释取消)

重启dovecot

service dovecot restart

复制出创建证书的脚本

cp

/usr/share/doc/dovecot-version/examples/mkcert.sh

编辑脚本文件将默认的

OPENSSL=${OPENSSL-openssl}

SSLDIR=${SSLDIR-/etc/pki/dovecot}

OPENSSLCONFIG=${OPENSSLCONFIG-/etc/pki/dovecot/dovecot-openssl.cnf}

修改为

OPENSSL=/usr/bin/openssl

SSLDIR=/etc/pki/dovecot

OPENSSLCONFIG=/etc/pki/tls/openssl.cnf

删除公钥和私钥

rm

/etc/pki/dovecot/certs/dovecot.pem

/etc/pki/dovecot/proivate

然后执行创建证书的脚本

sh

mkcert.sh

重启dovecot服务,使配置生效

service dovecot restart

利用mutt测试(普通用户,root用户不成功)

创建.mutt的配置文件的文件夹

mkdir

.mutt

编辑mutt配置文件

vim

muttrc

set

folder=imaps://cacti.example.com

set

spoolfile=imaps://cacti.example.com

set

imap_force_ssl=yes

然后使用mutt连接,会提示证书信息,按o

Lab3.3

利用CA服务器生成一个新的RSA密钥对,并修改权限为600

(umask

077;openssl genrsa 1024 >

dovecot.key)

生成一个证书请求文件

(umask

077;openssl req –new –key dovecot.key –out dovecot.csr)

查看证书

openssl req –in dovecot.csr –noout –text

在CA服务器上签署证书

openssl ca –in dovecot.csr –out dovecot.crt

在/etc/pki/CA/index.txt中查看证书的信息

cat

/etc/pki/CA/index.txt

V表示可用的R表示吊销的

将生成的公钥和私钥复制到dovecot的证书目录下

cp

~/dovecot.key /etc/pki/dovecot/private/dovecot.pem

cp

~/dovecot.crt /etc/pki/dovecot/certs/dovecot.pem

重启dovecot服务

Lab3.4

如果不提示证书需要将/etc/pki/CA/my-ca.crt复制到非root账户的~/.mutt/下

(如果提示没权限,可以使用root复制)

同时在~/.mutt/muttrc中添加

set

certificate_file=~/.mutt/my-ca.crt

Lab3.5

在火狐浏览器中导入CA证书

选择编辑—首选项—高级—加密—查看证书—导入

导入CA证书(在/etc/pki/CA下)

查看证书序列号和主题

openssl x509 –in /etc/pki/dovecot/certs/dovecot.pem –noout

–serial –subject

现在的/etc/pki/CA/serial已经变为02

查看/etc/pki/CA/index.txt

状态是V

cat

/etc/pki/CA/index.txt

吊销证书

openssl ca –revoke /etc/pki/CA/newcerts/01.pem

查看/etc/pki/CA/index.txt

状态变为R

产生吊销列表

echo

00 > /etc/pki/CA/crlnumber

cd

/etc/pki/CA/crl

openssl ca –gencrl –out my-ca.crl

查看证书吊销列表

openssl crl –in my-ca.crl –noout –text

将吊销列表转换成firefox或者是雷鸟可以识别的格式(DER格式)

openssl crl –in my-ca.crl –outform DER –out

my-ca-der.crl

浏览器导入吊销列表

选择撤销列表

选择导入

填写吊销列表网络访问路径

weixin_39612677
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ca证书 linux 导入_CA搭建与证书申请
weixin_39973196的博客
12-19 1189
一:创建私有CAopenssl的配置文件:/etc/pki/tls/openssl.cnf根据此配置文件创建CAdir:CA相关文件存放路径 /etc/pki/CAcerts:证书存放目录 /etc/pki/CA/certsdatabase:数据库文件 /etc/pki/CA/index.txtnew_c...
linux系统导入CA证书
热门推荐
ziyouwaYJ的专栏
07-02 3万+
英文版出处:http://majic.rs/blog/system-wide-installation-of-certificates 因为众所周知的原因,同步android源码成了非常痛苦的事情。迫不得已采用了goagent,但是在同步时发生经常发生SSL错误,意思是CA认证失败。网上找了一圈资料,最后明白根本的原因是系统中没有安装goagent的CA证书。这里的系统不是指firefox,
Linux怎么安装ca证书,如何在CentOS上安装自定义CA证书
weixin_29185167的博客
05-15 1399
我正在尝试在一系列CentOS系统上为我的内部证书服务器安装证书,而且我发现这方面的文档几乎不存在.我的最终目标是能够在没有错误的情况下对内部安全服务器使用git,curl和其他服务器.在Ubuntu上,它很简单,您将证书放在一个文件夹中并运行命令以生成一系列链接,以将CA证书添加到证书路径.我不能为我的生活找到如何在CentOS上这样做.有很多关于信任随机证书的信息. (即:在/ etc / p...
Linux 部署CA数字证书服务
weixin_33910385的博客
11-16 1417
CA数字证书服务 CA Certificate Authority 数字证书授权中心 被通信双方信任的,独立的第三方机构 负责证书颁发,验证,撤销等管理 PKI公钥基础设施 一套标准的密钥管理平台 通过公钥加密,数字证书技术确保信息安全 PKI体系的基础组成 权威认证机构(CA) 数字证书库,密钥备份及恢复系统 证书作废系统,应用接口 OpenSSL...
Linux 创建CA证书
ko_oi的博客
06-22 4350
有两台机器一个负责颁发(157)一个负责申请(105) 整体思路 1.搭建CA 2.发送申请 3.颁发证书 选项说明: -new:生成新证书签署请求 -x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 查看证书中的信息: openssl x509 -in /PATH/FROM...
linux下搭建CA认证服务器并认证服务.doc
11-10
配置CA服务器时,需要修改OpenSSL的配置文件。通常这个文件位于`/etc/pki/tls/openssl.cnf`。在这个例子中,需要将第172行的`basicConstraints=CA:FALSE`改为`basicConstraints=CA:TRUE`,表明该证书将作为根CA,...
网络安全课程设计(CA证书服务器的建立与使用)
06-12
1. **申请证书**:首先需要访问特定的CA证书服务器网站申请证书。通常情况下,需要填写相关的申请表格并按照指示完成申请过程。 - 例如,可以通过提供的链接`http://172.16.110.5/certsrv`访问证书服务器。 - 在...
opesnssl证书配置和使用1
08-08
3. **证书服务器**:使用openssl搭建证书服务器,是实验的第一步。这涉及到创建一个证书颁发机构(CA),它负责签发和管理证书。在Windows上,可以通过添加"证书服务"组件来实现;在Linux上,直接使用openssl命令行...
Linux操作系统
07-09
### Linux操作系统:基于LAMP的实战项目开发教程——QQ农场应用 #### 一、环境配置与网络设置 在本教程中,我们将通过一系列命令来搭建一个适用于QQ农场项目的开发环境。首先,为了确保网络配置正确无误,我们需要...
ejbca_安装过程
02-05
- 服务器配置:配置服务器SSL证书,通常涉及到证书请求文件的创建、用户账号的创建、密钥对的选择以及证书请求文件的上传等步骤。 - 客户端配置:为客户端创建账户、选择密钥对生成方式、上传证书请求文件,并下载...
ca.crt 证书
08-06
SSL certificate problem: unable to get local issuer certificate
Linux导入SSL证书(配置用于Apache)
weixin_34224941的博客
11-07 189
三、部署证书如果使用双向认证,就会有三个私钥和三个证书。分别是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ,以及给浏览器的 client.pfx 。如果使用有 CA 证书的单向认证,证书和私钥就是 ca.key, ca.crt, server.key, server.crt 。如果使用无 CA...
Linux Centos[自签CA证书颁发及其Web]
最新发布
m0_75023484的博客
06-10 471
注意事项:证书安装过程中,证书颁发时间需要小于系统时间否则证书无效,并无法向客户端提供加密服务。证书时间为6-10,则客户机系统时间为大于6-10。将证书文件通过复制挂在到网站的根目录下[data/web_data/]切换目录到 /etc/httpd/ssl 查看是否成功创建三个文件。创建目录:sudo mkdir /etc/httpd/ssl。在目录/etc/httpd/ssl/下 生成自签名证书。在目录/etc/httpd/ssl/下 创建私钥。修改默认路径为/data/web_data。
Openldap集成tls/ssl
weixin_33849215的博客
12-24 426
目录: 方案1:自签名证书 1.Server制作自签名证书 2.修改目录权限及所有者 3.修改配置文件,添加证书路径 4.重新生成配置文件 并启动服务 5.客户端配置及测试 方案2:CA中心签名 CA中心简介 一、建立Ca中心 二、客户机公钥签名 创建证书的另一种方法 三、将签名证书CA证书导入ldap s...
openssl创建CA并签发证书
健忘16的博客
02-16 3662
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
openssl生成CA证书
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
Centos CA自签证书服务器及自签证书配置手册
Q先生
08-11 1675
1 准备工作 1.1 系统版本信息 [08:33:10 root@centos8 ~]#cat /etc/redhat-release CentOS Linux release 8.4.2105 [08:33:26 root@centos8 ~]#openssl version OpenSSL 1.1.1g FIPS 21 Apr 2020 1.2 创建必要的目录和文件 mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} touch /etc/pki/C
CentOS6.5下openssl加密解密及CA自签颁发证书详解
andylau00j的专栏
01-17 4253
前言    openSSL是一款功能强大的加密工具、我们当中许多人已经在使用openSSL、用于创建RSA私钥或证书签名请求、不过、你可知道可以使用openSSL来测试计算机速度?或者还可以用它来对文件或消息进行加密。 正文    openssl是一个开源程序的套件、这个套件有三个部分组成、一是libcryto、这是一个具有通用功能的加密库、里面实现了众多的加密库、二是libssl、这个
openssl证书申请
weixin_43055250的博客
11-30 798
1.建立ROOT CA /etc/pki/tls/openssl.cnf 1)生成私钥 /etc/pki/CA/private openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096 2)自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 CN beijing beijing lzsj m30
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值