CA证书的签发与认证

最新推荐文章于 2024-07-25 21:25:26 发布
最新推荐文章于 2024-07-25 21:25:26 发布
阅读量1.8k 收藏 7
点赞数 2
文章标签: linux openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51393033/article/details/115000698
版权

【实验目的及要求】

实验目的:

学会签发根CA证书,使用根CA证书签发下级证书。

实验要求:

利用OpenSSL提供的命令行工具实现:

  1. 生成根CA密钥对、生成自签名的根CA证书;
  2. 生成普通个人用户的密钥对,并生成证书请求;
  3. 以CA管理员的角色,给上一步生成的证书请求签发个人证书。

【实验环境】

Linux 内核2.6及以上,安装有OpenSSL。

【实验过程】

1)环境准备

1、首先检查系统是否安装openssl,命令行中输入命令

openssl version

如图在命令行中,输出了OpenSSL的版本信息:
在这里插入图片描述(若无版本信息请自行百度安装OpenSSL教程)

2、接着,我们需要准备一个目录放置CA文件,包括颁发的证书和CRL(Certificate Revoke List)。这里我们新建目录 /var/MyCA,然后我们在/var/MyCA下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙,同时将private目录权限设置为700(仅自己可读写)。
在这里插入图片描述

3、除了生成钥匙,在我们的CA体系中还需要创建三个文件。第一个文件用来跟踪最后一次颁发的证书的序列号,我们把它命名为serial,初始化为01。第二个文件是一个排序数据库,用来跟踪已经颁发的证书。我们把它命名为index.txt,文件内容为空。
在这里插入图片描述

第三个文件是OpenSSL的配置文件:
键入命令

gedit openssl.cnf

然后在文件中输入下列内容:

[ ca ]
default_ca = myca

[ myca ]
dir = /var/MyCA
certificate = $dir/cacert.pem
database = $dir/index.txt
new_certs_dir = $dir/certs
private_key = $dir/private/cakey.pem
serial = $dir/serial

default_crl_days= 7
default_days = 365
default_md = md5

policy = myca_policy
x509_extensions = certificate_extensions

[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName= supplied
organizationalUnitName = optional

[ certificate_extensions ]
basicConstraints= CA:false

在这里插入图片描述

我们需要告诉OpenSSL配置文件的路径,有两种方法可以达成目的:通过config命令选项;通过环境变量OPENSSL_CONF。这里利用config选项。(后面会用到)

2)生成根证书 (Root Certificate)

我们需要一个证书来为自己颁发的证书签名,这个证书可从其他CA获取,或者是自签名的根证书。这里我们生成一个自签名的根证书。首先我们需要往配置文件里面添加一些信息,如下所示,节名和命令行工具的命令req一样。我们把所有必要的信息都写进配置。

[ req ]
default_bits = 2048
default_keyfile = /var/MyCA/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = root_ca_distinguished_name
x509_extensions = root_ca_extensions
[ root_ca_distinguished_name ]
commonName = My Test CA
stateOrProvinceName = HZ
countryName = CN
emailAddress = test@cert.com 
organizationName = Root Certification Authority
[ root_ca_extensions ]
basicConstraints = CA:true

在这里插入图片描述

3) 生成根的密钥对和根证书

命令:

openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

在这里插入图片描述

4)生成普通个人用户的密钥对,并生成证书请求

首先生成普通个人用户的密钥对(key文件):
命令:

openssl genrsa -des3 -out  client.key 1024

在这里插入图片描述

接着生成普通个人用户的证书请求:
命令:

openssl req -new -key client.key -out client.csr

后面按照提示输入各种信息即可.
在这里插入图片描述

5)以CA管理员的角色给普通用户请求签发个人证书

命令:

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

在这里插入图片描述

用OpenSSL命令行,来验证一下我们生成的证书:
命令:

openssl verify -CApath certs -CAfile ca.crt client.crt

在这里插入图片描述

到此实验完成。

_Buran_
关注
CA证书结构和验证原理
Tomhex的博客
01-19 1496
CA证书结构
CA证书签发流程详情
m0_61979385的博客
12-17 1万+
一,什么是CA证书: CA证书是电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA证书一般用于HTTPS服务中的SSL或TSL协议中,是一种确保服务器或客户端的合法性的一种证书 二,CA证书签发流程: CA证书签发流程一般可以分为六步,分别是 1.申请认证 , 2.审核信息, 3.签发证书 ...
计算机网络(四)数字签名CA认证
最新发布
m0_58466443的博客
07-25 1322
信息哈希:首先,发送方使用一个哈希函数(如SHA-256)对要发送的信息(如电子邮件、文件等)生成一个固定长度的哈希值(也称为消息摘要)。哈希函数具有以下特性:定长输出:无论输入信息的大小,输出都是固定长度的。单向性:从哈希值很难反推出原始信息。抗碰撞性:很难找到两个不同的信息具有相同的哈希值。私钥加密:然后,发送方使用其私钥对哈希值进行加密。加密后的哈希值就成为了**数字签名**。发送信息:发送方将原始信息和数字签名一起发送给接收方。验证签名
【PKI】【CA】【证书签发
weixin_45734052的博客
03-19 2067
PKI/CA证书签发
HTTPS中CA证书签发及使用过程
云上笛暮
08-03 474
原文:https://www.cnblogs.com/xdyixia/p/11610102.html TLS/SSL的功能实现主要依赖于三类基本算法:散列(哈希)函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列(哈希)函数验证信息的完整性。 ...
云服务器(五).nginx4.CA证书签发流程详情
yiguang_820的博客
05-24 231
也可以说是https传输流程(加密方式、证书、传输安全) 目录: CA证书签发流程:CA证书签发流程详情_燚湫的博客-CSDN博客_ca颁发证书 需要明白证书包含了哪些内容 https传输流程:https传输流程(加密方式、证书、传输安全)_短暂又灿烂的的博客-CSDN博客_https传输 上述整个流程是前面通信用的是证书的公私钥的非对称加密,后面数据传输用的秘钥是随机的对称加密的秘钥 问题: https传输过程中中间人能否篡改证书的公钥和证书签名? 由于每个CA公钥是公开的,所
openssl 创建ca 签发证书
10-10
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
浅谈基于openssl的多级证书,Multi-level CA签发和管理,以及双向认证
m0_38084180的博客
04-21 4189
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证和双向认证过程和区别、数字证书CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书,放在服务端,客户ht
通过Go语言创建CA签发证书
期待幸福
07-01 2103
本篇文章中,将描述如何使用go创建CA,并使用CA签署证书。在使用openssl创建证书时,遵循的步骤是 创建秘钥 > 创建CA > 生成要颁发证书的秘钥 > 使用CA签发证书。这种步骤,那么我们现在就来尝试下。首先,会从将从创建 CA 开始。CA 会被用来签署其他证书 接下来需要证书生成公钥和私钥 然后生成证书: 我们看到的证书内容是PEM编码后的,现在我们有了生成的证书,我们将其进行 PEM 编码以供以后使用: 创建证书 证书的 与CA的 属性有稍微不同,需要进行一些修改 为该证书创建私钥和公钥
PKI/CA与数字证书技术大全
12-06
2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...
使用OpenSSL生成/签发证书的原理、流程与示例
热门推荐
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
数字证书实战经验——自建CA中心签发证书
JunyeeJunZuo的博客
10-13 935
采用标准等openssl工程目录结构,openssl自建证书通常需要两种配置文件,可通过cnf配置文件修改证书签发的配置项。root ca的cnf配置文件中间证书的cnf配置文件(intermediate ca cnf)+ root-ca- certs -- 公钥生成目录- crl -- 证书吊销目录- csr -- 证书签发请求文件目录- db -- 证书数据库- newcerts -- openssl生成的临时证书目录- private -- 私钥目录。
CA是如何颁发证书
weixin_34026276的博客
03-07 1681
证书的生成 我们在上篇博客里提到,要获得对方信任的公钥,就要通过CA来颁发证书证书里通常包含如下信息: 证书持有者的信息, CA的相关信息 证书的使用说明 公钥 ...
关于ca以及证书颁发的一些事
Z.X的博客
12-16 441
2021年12月16日08:35:38 一些基础知识 SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。 HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HT...
ca双向认证 PHP代码,Go 编程: 快速生成自签名证书与双向认证(mTLS)
weixin_42512699的博客
03-12 419
签名证书双向认证大量用于各类网络集群项目中,例如 Kubernetes. 要实现服务间的证书双向验证,当然前提是要了解证书双向验证原理。相关原理介绍的文章,网上很多这里就不详细说明了。简单贴张图,自行理解。1. 快速生成自签名证书生成自签名证书传统工具是OpenSSL。不过OpenSSL不论是其复杂的命令选项,还是更加复杂配置都会让人头皮发麻。这里介绍一个更简单的生成自签名证书的工具: cert...
使用Openssl生成CA签发证书方法
rabbit729的专栏
06-10 1万+
  准备步骤       下载Openssl并编译生成响应的库,假设目录为E:/电子书/OpenSSL/openssl-0.9.8g,编译成功后Openssl会将响应的lib,dll及可执行程序存放到out32dll文件中生成CA1. 在DOS窗口中转换到out32dll目录下。       例如:cd E:/电子书/OpenSSL/openssl-0.9.8g/out32dl
模拟CA系统
luckism的博客
07-22 3823
实现一个ca系统,可以接受用户的认证请求,安全储存用户信息,记录储存对用户的一些认证信息,给用户颁发证书,可以吊销。 (1)接受用户的提交申请,提交时候让用户自己产生公钥对; (2)接受用户的申请,包括用户信息的表单提交,公钥的提交; (3)在对用户实施认证的过程中,储存相应的电子文档,比如证书、营业执照的扫描文档; (4)通过验证的给予颁发证书; (5)用户密钥丢失时,可以吊销证书,密钥作废。 1.前言 1.1实验目的 实现一个ca系统,可以接受用户的认证请求,安全储存用户信息,记录储存对用户的一些认证
OpenSSL PKI命令教程(简单实现自签CA和数字证书
weixin_42098322的博客
05-26 588
实验参考: Openssl PKI 相关命令教程,使用RSA算法,成为根CA、生成密钥 PEM、签名申请 CSR、签名 CRT、验签 VERIFY 等等 生成自签CA 证书作为CA证书,一旦该证书安装,此CA就会被信任 建立文件夹 mkdir ~/myCert cd ~/myCert mkdir demoCA mkdir demoCA/private mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts touch demoCA/ind
通过代码来申请CA证书
weixin_30468137的博客
03-20 193
最近一个项目中有关于PKI体系的搭建的内容,由于以前没有做过这部分,所以一开始一头雾水。慢慢摸索有了一丁点成果,拿出来和大家分享。说的不对的地方望能指正。 PKI体系目前成了一个企业中信息化安全方面的关键点,是信息化安全的支柱。我所在的项目是以微软技术为基础的项目,CA证书服务器是windows 2003 server自带的证书组件。 废话就不说太多了啊,...
如何成互联网CA证书签发机构
05-11
要成为互联网CA证书签发机构,需要具备以下条件: 1. 具备完备的技术能力和保密措施,能够确保证书的真实性、安全性和可靠性; 2. 具备相应的法律资质和合规能力,能够承担法律责任; 3. 申请并通过国家相关机构的资质认证,如工信部、公安部等; 4. 具备充足的资金和人员资源,能够满足证书签发、管理和维护的需要; 5. 遵守相关的标准和规范,如CA/Browser Forum、ISO等。 如果您有以上条件,可以向国家相关机构申请成为CA证书签发机构。在此之前,您可以先了解相关的法律法规和技术标准,以及市场需求和竞争情况。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值