PKI/CA(基于Openssl实现)

最新推荐文章于 2024-05-22 09:46:16 发布
最新推荐文章于 2024-05-22 09:46:16 发布
阅读量862 收藏 9
点赞数 1
分类专栏: 学习笔记 实验报告 文章标签: openssl pki ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49642831/article/details/121622211
版权

实验7 PKI/CA

一、实验目的

  1. 理解CA颁发证书过程
  2. 掌握openssl命令的使用,包括公私钥产生、随机数产生、证书申请和证书颁发等

二、实验内容

  1. 使用openssl生成ca证书并颁发证书
  2. 在网站中使用PKI,配置网站的安全连接访问:https

三、实验环境

使用openssl.exe命令进行实验

四、实验要求

根据实验内容要求完成实验

五、实验步骤

1. 使用openssl生成ca证书并颁发证书的步骤以及运行结果

1、中间CA自签
##将原openssl目录下的ssl/misc/CA.sh拷贝到自己创建的测试目录下:  
cp /usr/lib/ssl/misc/CA.pl ./    
##创建主证书:  
./CA.pl -newca  
##按照提示完成需要填写的信息,若生成成功会在当前目录下的demoCA目录下生成证书文件,demoCA/private/cakey.pem为ca证书私钥,demoCA/cacert.pem为ca根证书。      
##cacert.pem拷贝成ca.crt  
cp demoCA/cacert.pem ca.crt   
##查看ca证书内容  
openssl x509 -in ca.crt -noout -text
##查看ca证书序列号  
openssl x509  -in ca.crt -noout -serial

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、生成服务器证书
##生成服务器私钥:   
openssl genrsa -des3 -out server.key 1024  
##生成csr文件:   
openssl req -new -key server.key -out server.csr  
##签名并生成证书:  
openssl ca -in server.csr -out server.crt

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、生成客户端证书
##生成客户端私钥:  
openssl genrsa -des3 -out client.key 1024 
##生成csr文件:  
openssl req -new -key client.key -out client.csr 
##签名并生成证书:  
openssl ca -in client.csr -out client.crt

在这里插入图片描述
在这里插入图片描述

4、查看生成的密钥和证书信息
##view key info  
openssl rsa -noout -text -in server.key
##view CSR info  
openssl req -noout -text -in server.csr  
##view cert info  
openssl x509 -noout -text -in ca.crt  
##verify cert  
openssl verify -CAfile ca.crt server.crt

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

2. 在网站中使用PKI,配置网站的安全连接https访问的步骤以及效果截图

实验准备:lv1900301124.html、ca.pfx(ca.p12)、server.pfx(server.p12)
实验步骤:
lv1900301124.html

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>lv.com</title>  
</head>  
<body>  
<p>测试成功!</p>  
</body>  
</html>  

cp /root/桌面/demoCA/private/cakey.pem ./  
  
openssl pkcs12 -export -in ca.crt -inkey cakey.pem -out ca.pfx    
 
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

环境配置:
首先:安装.NET(因为很多情况下都需要NET框架,所以最好还是将net框架安装好)。
打开控制面版,启用或关闭Windows功能,找到NET Framework3.5和.NET Framework4.7,勾选3.5和4.7的所有默认复选框,再将ASP.NET4.7勾也一同选上。接着:安装IIS(Internet Information Services,找到Internet Information Services并勾选复选框,具体参看下图:(主要是应用程序开发功能相关选项)。等其安装完成(这个过程需要联网支持下载文件)
在这里插入图片描述
在这里插入图片描述

待安装完成后在浏览器里面输入http://127.0.0.1 能打开IIS起始页便是安装成功了。

搭建域名网站(仅内网访问)
1、 打开hosts文件(路径:C:\Windows\System32\drivers\etc),
并在hosts文件最后面添加:127.0.0.1 www.lv1900301124.com
在这里插入图片描述

2、创建网站
在这里插入图片描述

3、修改首页
在这里插入图片描述

4、浏览效果(http)
在这里插入图片描述

5、安装证书
双击安装ca证书(ca.pfx)
在这里插入图片描述

安装server证书(server.pfx)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

选定证书绑定https网站:
在这里插入图片描述

查看效果:
在这里插入图片描述

六、问题记录和实验总结(必写)

本次实验使我感受到了openssl这各开放源代码的软件库包的强大之处:应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。目前这个包广泛被应用在互联网的网页服务器上。同时我其中理解CA颁发证书过程并掌握openssl命令的使用,包括公私钥产生、随机数产生、证书申请和证书颁发等。二在网站中使用PKI,配置网站的安全连接访问:https,让我理解了目前我们互联网安全网站的保证是如何运行的。

buguo西瓜
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开源的PKI项目 IDX-PKI
知而后定
01-20 2705
[开源项目之四]                 IDEALX遵从RFC的开源PKI项目      前面,我介绍了著名且取得巨大成就的开源安全项目OpenSSL、开源的防火墙SINUS,以及开源的IDS(入侵检测系统) Snort等,本以为天上掉馅饼不是常有的事,但近日在网上闲逛又找到一些开源的并且很优秀的东东。想想这么久了也没给网上朋友带来什么好的东西,所有今天抽点时间将一些内容整理一下
NewPKI-开源
07-04
NewPKI 是基于 OpenSSL 底层 API 的 PKI,所有数据都通过一个数据库进行处理,这提供了比 OpenSSL 更灵活的 PKI,例如通过搜索引擎寻找证书
自制CA证书,自制客户端,服务端证书,弄一个简单的https服务器。
tankweight的博客
11-27 1762
因为面试问道https服务器怎样实现,双向认证怎样实现,缺啥补啥吧,欠下的技术债要花更大的力气去偿还!得自己用C++写一个https服务器,那就得先把根证书啥的都自己弄一个,这篇博客不错https://blog.csdn.net/qq_22239675/article/details/86541088,查资料的时候也算弄清楚12306的证书是咋回事了,感觉反正是在国内,这样也没啥安全不安全...
openssl基本原理 + 生成证书 + 使用实例
huang714的专栏
10-15 3305
公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL. OpenSSL初接触的人恐怕最难的在于先理解各种概念   公钥/私钥/签名/验证签名/加密/解密/非对称加密   我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码
推荐开源项目:webpki——安全可靠的Web PKI证书验证库
最新发布
gitblog_00080的博客
05-22 301
推荐开源项目:webpki——安全可靠的Web PKI证书验证库 项目地址:https://gitcode.com/briansmith/webpki 1、项目介绍 webpki 是一个由Rust编程语言编写的库,专门用于验证Web Public Key Infrastructure(Web PKI)中的TLS/SSL证书。它的目标是为各种应用和设备提供一个全面的客户端实现,包括嵌入式(IoT)应...
关于网络安全通过c++实现CA证书相关总结
ghevinn欢迎您光临
10-22 3923
CryptoAPI openssl RSA
如何生成CA证书
热门推荐
tiandyoin的专栏
07-16 4万+
http://blog.csdn.net/fyang2007/article/details/6180361 http://blog.sina.com.cn/s/blog_4fd50c390101891c.html 一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。 需要手工生成证书
xipki:高度可扩展的高性能开源PKICA和OCSP响应程序)。 依赖性最小,无需JPA,无需Spring
02-05
XiPKI XiPKI(E X tensible的I mple P ublicķEY我nfrastructure)是一个高度可扩展的和高性能的开源PKICA和OCSP应答器)。 执照 Apache软件许可,版本2.0 所有者 廖丽君, 支持 只需创建,或通过微xipki9 xipki9 xipki9 。 有关错误报告,请上传测试数据和日志文件,描述XiPKI,OS和JRE / JDK的版本以及重现该错误的步骤。 先决条件 操作系统:Linux,Windows,MacOS JRE / JDK 8(内部版本162 +),9、10、11、12、13 数据库:DB2,MariaDB,MyS
利用OPENSSL实现PKI
weixin_33755557的博客
08-18 729
PKI即公钥基础设施,包括注册机构(RC),签证机构(CA),证书撤销列表(CRL)发布机构,证书存取库,我们利用openssl实现以上内容。一,我们来梳理一下常见的加密算法1,对称加密算法常见的对称加密算法有:DES,3DES,AES工作机理:通过移位来达到加密效果适用场景:机密性2,非对称加密算法常见的非对称加密算法有:RSA,DSS,ECC,DH工作机理,通过数学函...
使用OpenSSL自建CA简单实现PKI
weixin_33989058的博客
08-03 1235
一、PKI(Public Key Infrastructure) (一)PKI,即公共基础设施 它是利用了公钥技术和x.509证书所提供的安全服务。它由以下部分组成: PKI策略 PKI安全策略建立和定义了一个组织信息安全方面的规则,同时也定义了密码系统使用的处理方法和原则。这包括CA是如何建立和运作的,证书是如何发行、接收和废除的...
ca源码java-xipki:高度可扩展的高性能开源PKICA和OCSP响应程序)。依赖性最小,无需JPA,无需Spring
05-19
ca原始Java XiPKI XiPKI(E X tensible的I mple P ublicķEY我nfrastructure)是一个高度可扩展的和高性能的开源PKICA和OCSP应答器)。 执照 Apache软件许可,版本2.0 所有者 廖丽君 支持 只需创建,或通过微xipki9 xipki9 xipki9 。 有关错误报告,请上传测试数据和日志文件,描述XiPKI,OS和JRE / JDK的版本以及重现该错误的步骤。 先决条件 操作系统:Linux,Windows,MacOS JRE / JDK 8(内部版本162 +),9、10、11、12、13 数据库:DB2,MariaDB,MySQL,Oracle,PostgreSQL,H2,HSQLDB 经过测试的PKCS#11设备 , , , , , 开始使用 JAVA_HOME 将环境变量JAVA_HOME为指向JRE / JDK安装的根目录。 CA Server和OCSP响应器 从下载二进制文件ca-war-.zip , ocsp-war-.zip xipki-cli-.
EJBCA, JEE PKI Certificate Authority-开源
05-07
EJBCA是基于JEE技术构建的企业级PKI证书颁发机构。 它是一个健壮的,高性能的,独立于平台的,灵活的,基于组件的CA,可以独立使用或集成在其他JEE应用程序中。
简单的PKI系统设计
02-26
在winform界面基础上,设计一个基本的PKI系统,实现证书的申请、制作、签发、验证、维护等功能。
用OpenCA构建自己的PKI
10-10
随着互联网络的飞速发展, 网络中的安全问题日益受到人们的重视。众所周知, PKI 公钥基础设施是目前 比较成熟、完善的互联网络安全解决方案。但PKI 实施起来比较繁琐, 并且当前实现PKI 的商用软件价格较为昂 贵, 这都阻碍了PKI 的广泛应用。本文针对这一现状, 重点介绍实现PKI 技术的开源软件OpenCA。由于OpenCA 的配置、使用过程比较繁杂, 并且相关文档比较缺乏, 因此本文通过讲解笔者用OpenCA 搭建的一套PKI 系统
pki开源c代码
12-25
公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点.
基于OpenSSLPKI环境设计(CA模块)
07-21
**基于OpenSSLPKI环境设计(CA模块)** PKI(Public Key Infrastructure,公钥基础设施)是一种用于安全网络通信的技术,它通过公钥和私钥的加密方式确保数据的机密性和完整性。OpenSSL是一个强大的安全套接字层...
php pki加密技术(openssl)详解
10-27
PHP中的PKI(Public Key Infrastructure,公钥基础设施)加密技术主要依赖于OpenSSL库,它提供了基于非对称加密算法的实现,如RSA。PKI的核心思想是利用一对密钥,一个为公钥,另一个为私钥,进行数据加密和解密。在...
PKICA、SSL证书详解
04-17
PKICA、SSL证书详解,讲述具体的原理和构成,后面会讲解openssl的具体命令
配置 Linux-1 为 CA 服务器,为所有 Linux 主机颁发证书,不允许修改/etc/pki/tls/openssl.conf
05-09
sudo cp /etc/pki/tls/openssl.cnf /opt/ca/config/openssl.cnf sudo chmod 600 /opt/ca/config/openssl.cnf ``` 6. 编辑 `/opt/ca/config/openssl.cnf` 文件,找到 `[ v3_ca ]` 部分并取消注释以下行: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值