linux-运维进阶-31 OpenSSL实现CA证书

最新推荐文章于 2023-01-07 21:55:55 发布
VIP文章 最新推荐文章于 2023-01-07 21:55:55 发布
阅读量828 收藏 7
点赞数 2
分类专栏: Linux-运维进阶 文章标签: linux OpenSSL CA 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42560249/article/details/88797601
版权

linux-运维进阶-31 OpenSSL实现CA证书

OpenSSL实现CA证书

什么是CA

CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。理论上来说,任何组织或者个人都可以扮演CA的角色,只不过,难以得到客户端的信任,不能推而广之,最典型应用莫过于12306网站,这个网站就是自己给自己颁发的根证书。

目前能够让浏览器默认支持的CA大厂有很多,Windows 操作系统在安装之初,也默认安装了很多受信任的根证书。可以通过控制面板–Internet选项来进行查看。

另外,可以将证书理解为带有额外信息的公钥。

SSL/TLS

SSL/TLS是网络通信过程中非常重要的两个协议。互联网的通信安全就建立在SSL/TLS协议基础之上。他们通过一系列的加密行为保障了通信的安全,是如今互联网通信最主要的应用之一。

SSL/TLS是一个很大的互联网应用,关于他们的介绍互联网上有很多,我们暂时不做详细的介绍。关于SSL/TLS通信的过程大致可以用下面的这张图来进行描述。

十六字真诀

公钥加密,私钥解密
私钥签章,公钥验签

实验准备

CA服务器:192.168.141.132

客户机:192.168.141.69

物理机(就是你的电脑)

OpenSSL

OpenSSL是一套开源软件,在Linux中可以很容易的安装。它能够很容易的完成密钥生成以及证书管理。我们接下来就利用OpenSSL搭建CA证书,并实现证书的申请与分发。

[root@localhost ~]# yum install openssl –y

CA配置

要手动创建CA证书,就必须首先了解,OpenSSL中关于CA的配置,配置文件位于下面的/etc/pki/tls/openssl.cnf

[root@localhost ~]# cat /etc/pki/tls/openssl.cnf

####################################################################
[ ca ]
default_ca= CA_default      #默认CA
####################################################################
[ CA_default ]

dir=/etc/pki/CA     # CA的工作目录这里其实是定义了一个变量
certs= $dir/certs      # 证书存储路径
crl_dir= $dir/crl      # 证书吊销列表
database= $dir/index.txt   # 证书数据库列表


new_certs_dir= $dir/newcerts       #新的证书路径

certificate = $dir/cacert.pem  # CA自己的证书
serial= $dir/serial        #下一个证书的编号,十六进制,默认00
crlnumber= $dir/crlnumber  #下一个要被吊销的证书编号,十六进制,默认00
crl = $dir/crl.pem         # The current CRL
private_key = $dir/private/cakey.pem # CA 的私钥
RANDFILE= $dir/private/.rand   # private random number file

x509_extensions = usr_cert      # The extentions to add to the cert

# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt = ca_default       # 命名方式
cert_opt = ca_default       # CA的选项
default_days= 365           # 默认证书的有效期限
default_crl_days= 30            # how long before next CRL
default_md= default     # use public key default MD
preserve= no            # keep passed DN ordering

policy= policy_match    #策略
                                #这里记录的是 将来CA在搭建的时候,以及客户端申请证书的时候,
                                需要提交的信息的匹配程度。

[ policy_match ]                # match意味着CA以及子CA必须一致
countryName = match             # 国家
stateOrProvinceName= match      # 州或者省
organizationName= match         #组织公司
organizationalUnitName  = optional
commonName= supplied
emailAddress= optional

[ policy_anything ]             #可以对外提供证书申请,这时,证书的匹配就可以不用那么严格
countryName = optional
stateOrProvinceName = optional
localityName= optional
organizationName= optional
organizationalUnitName  = optional
commonName  = supplied
emailAddress= optional

找到配置文件中指定的路径

[root@localhost ~]# cat /etc/pki/tls/openssl.cnf | grep dir
dir		= /etc/pki/CA		# Where everything is kept

可以看到路径 /etc/pki/CA

创建所需要的文件

这里有一点需要注意,我们的实验环境中包含了一个主机,如果不提前创建这两个文件,那么在生成证书的过程中会出现错误。
  我们将文件创建在配置文件中指定的路径下面。

生成证书索引数据库文件 
[root@localhost ~]# tou
最低0.47元/天 解锁文章
IT@feng
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
opensslopenssl-devel的rpm
01-29
openssl-1.0.2n-2.58.1.x86_64.rpm,libopenssl1_0_0-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-64bit-1.0.2j-10.1.aarch64_ilp32.rpm
linux文件目录分析之/etc目录
phymat.nico的专栏
11-29 7660
linux下修改系统配置时就会在/etc这个目录下修改配置文件,可见这个目录是系统的配置文件目录。 在终端输入ls看看里面的文件: $ ls acpi calendar dpkg host.conf ldaptor magic.mime os-release
linux添加ssl信任根证书,linux系统添加根证书 linux证书信任列表
weixin_39753260的博客
05-03 282
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
linux查cer证书信息,openssl 查看证书
热门推荐
weixin_28752743的博客
05-08 1万+
查看证书# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书# 会提示self signed> openssl ve...
openssl 自建CA,生成自签名证书,导入证书
规则边缘的博客
07-21 1028
1. 自建CA #生成CA私钥 cd /etc/pki/CA && touch index.txt && echo 01 > serial cd /etc/pki/CA && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem #生成CA证书 #-x509:表示创建自签名证书而不是生成证书签名请求 openssl req -new -x509
查看linux证书信任机构
u011238098的博客
06-12 2657
输入如下命令 awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
self-signed-ssl:使用OpenSSL生成自签名TLS证书
03-21
自签名TLS该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。用法self-signed-tls [OPTIONS]self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit'self-...
openssl-1.1.1g编译、交叉编译方式.rar
08-03
linux下编译/交叉编译openssl-1.1.1g生成动态库和静态库方法: 一、编译linux版本 1. cp openssl-1.1.1g.tar.gz /opt/ 2. tar -zxvf openssl-1.1.1g.tar.gz 3. mkdir build 4. ./config --prefix=/opt/openssl-1.1.1...
linux-openssl
11-02
openssl 1.1 版,可以用来实现安全传输等功能,也可以用来实现单向双向认证等。
linux查看证书文件,linux系统添加根证书 linux证书信任列表
weixin_34513436的博客
04-28 2936
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
Linux openssl 搭建CA、签名证书
sayyy的专栏
09-04 1084
Linux openssl 搭建CA、签名证书
Linux OpenSSL 生成CA证书及终端用户证书
菜鸡哥的码场
08-21 2754
一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re
Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 6837
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
OpenSSL创建CA和签发证书,转换成java可以加载的jks
Langeldep的专栏
02-04 8075
java的keytool工具本来就可以生成交互式认证的证书, 不过其他语言处理交互式认证的流程貌似和java的keytool的认证流程有些差别,  而openssl是比较通用的工具。大部分语言都会支持openssl生成的证书文件。用openssl签发的证书如何才能转化为keytool的jks文件呢,  就需要用到 ImportKey.java 文件的源码来处理了。CA证书openssl genr
怎样给openssl增加根证书
子扉居
07-17 6381
有时候需要给ssl增加根证书,这种情况很多,比如12306的根证书等等,反正没有内置到openssl的根证书,但是你需要信任它,就需要把它添加到ssl中。对于各个linux发行版来说证书相关的密码和认证的机制由openssl提供,而预置的根证书ca-certificates提供,ca-certificates包由debian维护,主页在http://packages.debian.org/sid
nginx配置ssl证书https解决公网ip可以访问但是域名不行的问题
追梦小狂魔的博客
12-09 3477
进入nginx文件夹 将下载得到的crt和key文件放到这个目录下
使用OpenSSL实现CA证书的搭建过程
Eumenides_s的博客
09-20 7460
个人博客地址:http://www.pojun.tech/ 欢迎访问什么是CA   CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用
localhost自签名SSL证书
____
07-28 3721
运行命令 在本地的开发环境中需要使用证书,先生成自签名证书,再信任。 openssl req -x509 -out localhost.crt -keyout localhost.key \ -newkey rsa:2048 -nodes -sha256 \ -subj '/CN=localhost' -extensions EXT -config <( \ printf "[...
证书和中间根证书之间的区别
-
11-20 6120
随着SSL证书的广泛应用,申请SSL证书的人也越来越多,但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书,而最终用户也只是获取SSL证书也是证书链的一部分而已。 在本文将为大家介绍关于SSL证书的根证书和中间根证书的知识。 什么是根证书? 根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。根证书是浏览器是否对...
perl oracle-linux 更新CA证书
最新发布
05-30
要更新Oracle Linux上的CA证书,可以按照以下步骤进行操作: 1. 下载新的CA证书。 可以从CA机构的官方网站下载最新的CA证书。 2. 将新的CA证书保存到服务器上。 可以将新的CA证书保存到服务器的任何位置,例如 /...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值