PKI介绍及搭建Linux私有CA (SSL 示例)

最新推荐文章于 2023-07-14 15:45:23 发布
VIP文章 最新推荐文章于 2023-07-14 15:45:23 发布
阅读量4.2k 收藏 27
点赞数 4
分类专栏: Linux学习笔记 文章标签: Linux PKI 私有CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44983653/article/details/96511856
版权

PKI介绍及搭建Linux私有CA

PKI 介绍

PKI的诞生主要是为了防范中间人攻击。中间人攻击如下图所示:
在这里插入图片描述

PKI 概念

PKI(Public Key Infrastructure):公钥基础设施,主要包括以下四个部分:

  1. 签证机构(CA)
  2. 注册机构(RA)
  3. 证书吊销列表(CRL)
  4. 证书存取库

X.509v3:定义了证书的结构以及认证协议标准。

  1. 版本号
  2. 序列号
  3. 签名算法ID
  4. 发行者名称
  5. 有效期限
  6. 主体名称
  7. 主体公钥
  8. 发行者的唯一标识
  9. 主体的唯一标识、
  10. 扩展
  11. 发行者的签名

CA

CA一般有公共信任的CA和私有CA。
建立私有CA使用的工具:OpenSSL 和 OpenCA 。

# openssl命令
	配置文件:/etc/pki/tls/openssl.cnf

构建私有CA

在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可。

步骤1:生成私钥

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)         

[root@LeeMumu ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
........................++
........................++
e is 65537 (0x10001)

[root@LeeMumu CA]# ll /etc/pki/CA/private/cakey.pem 
-rw-------. 1 root root 3247 Jul 19 21:50 /etc/pki/CA/private/cakey.pem

[root@LeeMumu ~]# cat /etc/pki/CA/private/cakey.pem
-----BEGIN RSA PRIVATE KEY-----
MIIJKgIBAAKCAgEAzZJJ2dvomneSkZQpI4t//UUaEj/duUigQ7fVmbqbQvqEGzQU
86UaG7QgNiL6n1f9TQ8X+fbaQCofnWzTNof/Qkq3k4QPDLqrTQ4b646EZpihoc99
最低0.47元/天 解锁文章
Lee木木
关注
  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS7.2服务器上搭建Docker私有镜像仓库操作示例
01-20
本文实例讲述了CentOS7.2服务器上搭建Docker私有镜像仓库操作。分享给大家供大家参考,具体如下: 鉴于国内pull镜像的速度较慢,很有必要搭建docker私有或者本地镜像仓库。 安装docker # yum -y install docker # systemctl start docker && systemctl enable docker 使用自签名进行安全认证 创建存放证书和密钥的certs目录 # mkdir -p /docker/certs # chcon -Rt svirt_sandbox_file_t /docker/certs/ 修改/etc/pki/t
pki实验 CA环境的搭建
06-11
pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,
基于springboot的Netty的SSL加密PKI认证通信
04-01
采用springboot的基于Netty的SSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证和双向认证,信任证书链并对RA颁发的证书来进行验签,实现了双向和单向加密通信,保障了数据的安全,代码稳定运行,适合做教学案例,开发模块指引,项目代码整合。
linux信息安全_SSL,PKI,CA
01-10 3441
SSL,PKI,CA 若互联网上面信息的传输信息不采取任何加密技术,那么所有的数据都是透明的,毫无隐私可言,于是加解密技术就应运而生了。 古代的加密方式更容易被人记忆,比如早期古希腊采取的羊皮卷加密,战争时期密报采取的不同的数字替换技术,这些技术一旦被猜到,那真是弹指可破,随着计算机的计算能力的不断提高,加密技术也伴随者越来越复杂的算法运算,有些甚至在理论上被认为是不可破解的,当然这是根据如今
Linux常见命令 12 - ps, kill, pkill, w, tty
Aaron_neil的博客
06-23 926
Linux基础命令,包括ps, kill, pkill, w, tty, top相关命令。帮助初学者迅速熟悉linux基本操作
linux加密解密基础、PKISSL、创建私有CA
weixin_34087301的博客
09-16 126
linux加密解密基础、PKISSL、创建私有CA1.加密解密基础:数据在网络中传输过程中要保证三个要点:(1)数据的完整性:防止数据在传输过程中遭到未授权用户的破坏或篡改。(2)数据的机密性:防止文件数据泄漏给未授权用户从而让其利用(3)数据的可用性:保证授权用户能按需访问存取文件数据2.常见...
Linux下创建私有CA服务器
码农崛起
07-19 3595
什么是证书?   它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。   理论上,人人都可以找个证书工具,自己做一个证书。 什么是CA?   CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书?   CA证书,就是CA颁发的证书。   前面说...
linux常用工具
c++小白的博客
07-14 525
linux常用命令记录
如何用 CFSSL 从零开始快速构建一套私有 PKI
easylife206的专栏
07-09 1000
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Synopsis本文档会如何用 cfssl 从零构建起一套 PKI,包括签发根证书(rootCA)、中间证书和叶子证书,以及通过 CRL 实现证书吊销列表。Background1、证书编码格式PEM(Privacy Enhanced Mail)通常用于数字证书认证机构(Certificate Authoritie...
Linux运维初学10
Fafafa12345678的博客
12-12 999
1、在本地模拟搭建openvpn 环境 共四台主机 1 openvpn server: CentOS 8.4 eth0:192.168.120.128/24 NAT模式,模拟公网IP eth1:192.168.22.128/24仅主机模式,私网IP 2 内网主机两台 第一台主机 eth0:192.168.22.130/24 仅主机模式,私网IP,无需网关 第二台主机 eth0:192.168.22.129/24 仅主机模式,私网IP,无需网关 3 Windows 客户端 Windows 10 实现步骤
PKICASSL证书详解
04-17
PKICASSL证书详解,讲述具体的原理和构成,后面会讲解openssl的具体命令
PKI-CA体系.zip
01-19
PKI/CA工作原理及架构
linux的瑞士军刀:lsof/fuser/pkill/pgrep
专注于互联网架构技术,努力成为一名架构师
09-13 1785
lsof命令详解:lsof命令的原始功能是列出打开的文件的进程,但LINUX下,所有的设备都是以文件的行式存在的,所以,lsof的功能很强大.一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied” sof指令的用法如下: lsof abc.txt 显示开启文件abc.txt的进程 lso
[Linux] killall 、kill 、pkill 命令详解
weixin_30352645的博客
10-16 3574
killall 命令   Linux系统中的killall命令用于杀死指定名字的进程(kill processes by name)。我们可以使用kill命令杀死指定进程PID的进程,如果要找到我们需要杀死的进程,我们还需要在之前使用ps等命令再配合grep来查找进程,而killall把这两个过程合二为一,是一个很好用的命令。   1.命令格式     killall[参数][进程名] ...
Linux的加密工具以及ssh
weixin_34409822的博客
09-16 202
linux下加密算法大概可分为对称加密 特点:加密、解密需要使用相同的密钥的加密算法,常见有DES,AES。算法公开,计算量小,加密速度块,加密效率高,其安全性,不久取决于加密算法本身,更依赖密钥的安全管理。非对称加密 特点:公私密钥是成对出现,相互加密,相互解密。公钥可公开给所有人,私钥,自己保留。用公钥加密的数据,只能使用与之配对儿的私钥解密;反之亦然。主要作用是...
Linux_加密和安全详细
Blog of Stevenux
11-10 723
加密和安全 一.安全机制 安全攻击的几种典型方式: STRIDE Spoofing 假冒 Tampering 篡改 Repudiation 否认 Information Disclosure 信息泄漏 Denial of Service 拒绝服务 Elevation of Priv...
Linux 加密安全和私有CA搭建方法
萌兔兔MMQ!!
07-27 1059
常用安全技术3A认证身份确认授权权限分配审计监控做了什么安全通信加密算法和协议对称加密非对称加密单向加密哈希(hash)加密认证协议对称加密加密和解密使用的是同一个密钥是通过将原始数据分割成若干块来逐个进行加密特点效率高、速度快缺点加密解密使用的密钥相同,需要提前把密钥发给别人且不能确定数据来自于发送方。常见的对称加密算法DES56位加密,把数据切成56Bit一块来进行加密3DESDES的方式加密三次AES#获取到一个随机密码。...
生成自签ssl证书
kali_yao的博客
10-18 9481
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
node-v0.10.9-sunos-x86.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
linux中构建私有CA并下载安装证书
07-27
Linux中构建私有CA(证书颁发机构)并下载安装证书,你可以按照以下步骤进行操作: 1. 生成私有CA的私钥(private key): ``` openssl genrsa -out ca.key 4096 ``` 2. 使用私钥生成自签名的CA证书(certificate): ``` openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 3. 将CA证书安装到系统的受信任根证书存储库中(这可能因Linux发行版而异)。 - 对于Debian/Ubuntu系列,使用以下命令安装CA证书: ``` sudo cp ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates ``` - 对于CentOS/RHEL系列,使用以下命令安装CA证书: ``` sudo cp ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` 4. 下载证书: ``` openssl s_client -connect example.com:443 -showcerts </dev/null | sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/p' > server.crt ``` 将`example.com`替换为你要下载证书的域名。 5. 将下载的证书安装到系统的受信任证书存储库中。 - 对于Debian/Ubuntu系列,使用以下命令安装证书: ``` sudo cp server.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates ``` - 对于CentOS/RHEL系列,使用以下命令安装证书: ``` sudo cp server.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` 完成以上步骤后,你的Linux系统将信任由你的私有CA签发的证书,并且可以安装和使用相应的证书。请根据你的具体需求和Linux发行版进行适当的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值