【网络安全】在局域网里创建个人CA证书

最新推荐文章于 2025-04-17 15:04:32 发布
最新推荐文章于 2025-04-17 15:04:32 发布
阅读量1.8w 收藏 26
点赞数 4
分类专栏: 网络通信 文章标签: 证书

前言

这篇文章主要是给另一篇文章提供生成个人CA证书步骤的教程。

生成CA证书

首先网上下载一个openssl软件,Windows可以从这里下载:已经编译好的Windows下的openssl,当然也可以在Linux下生成。

之后按步骤输入下面指令生成证书。这一步是创建根证书。

创建私钥

> openssl genrsa -out ca/ca-key.pem 1024

创建证书请求

> openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem

Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:guangdong 
Locality Name (eg, city) []:guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:test
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:root 
Email Address []:test

依次输入cnguangdongguangzhoutest等信息。

自签署证书

>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

将证书导出成浏览器支持的.p12格式

>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

如果要输入其它信息直接全部为test。

生成server证书

这一步生成的证书是要放在服务器上。

创建私钥

>openssl genrsa -out server/server-key.pem 1024

创建证书请求

> openssl req -new -out server/server-req.csr -key server/server-key.pem

Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:guangdong
Locality Name (eg, city) []:guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:test 
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:192.168.1.246   # 注释:一定要写服务器所在的ip地址
Email Address []:sky

自签署证书

> openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

将证书导出成浏览器支持的.p12格式

> openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

如果要输入其它信息直接全部为test。

生成client证书

创建私钥

> openssl genrsa -out client/client-key.pem 1024

创建证书请求

> openssl req -new -out client/client-req.csr -key client/client-key.pem 

Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:guangdong
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:sky
Email Address []:sky      # 注释:就是登入中心的用户(本来用户名应该是Common Name,但是中山公安的不知道为什么使用的Email Address,其他版本没有测试) 

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:test 
An optional company name []:test

自签署证书

> openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

将证书导出成浏览器支持的.p12格式

> openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

如果要输入其它信息直接全部为test。

update 2018-03-05:

本人使用Python编写了一键创建以上证书的脚本,放在了github的gist:https://gist.github.com/AngelLiang/730edb0042b9ac50f692c905ca8f1310

互联网协议 — TLS — 使用 OpenSSL 自建 CA 中心
烟云的计算
01-05 2145
目录 文章目录目录使用 OpenSSL 自建 CA 并签发证书示例Step 1. 设定 OpenSSL CA 配置文件Step 2. 搭建 CA 中心Step 3. 生成 CA 证书的 RSA 私钥Step 4. 生成 CA 的根证书(公钥)Step 5. 查看 CA 证书的内容Step 6. 生成 Server 证书密钥文件 & 证书签名请求Step 7. 签发 Server 证书 使用 OpenSSL 自建 CA 并签发证书 OpenSSL 是一个强大的安全套接字层密码库,利用 OpenSSL
局域网构建私用CA
archive_s的博客
09-05 1009
CA全称Certificate Authority,也叫“证书授权中心”,是负责管理和签发证书的第三方机构。
【SSL证书创建局域网或单机可信任证书
热门推荐
u013018858的博客
09-25 1万+
局域网或者本机开发https的web项目时一般会用到ssl证书,而一般生成的自签名证书就已经能够满足需求了,只是会经常需要手动信任,略显麻烦,而且如果是在局域网内给多人提供一个https的服务,本篇教程将让整个事情变得优雅。 1、环境和目标 前提知识:你需要自己去了解怎么在服务端使用证书。 本篇只讨论怎么创建本机CA,至于生成的证书怎么配置在服务端不在本篇讨论范围内。 目标:能够搭建本机CA,并搭建出能够给多人使用的证书环境(其他的机子上也是需要安装软件的)。 工具:mkcert,github 的 sta
Flask(补充内容)配置SSL 证书 实现 HTTPS 服务
最新发布
网络风云的博客
04-17 1万+
数据在互联网上传输时,如果未经加密,随时可能被抓包软件抓住,面的cookie、用户名、密码什么的,它会看得一清二楚,所以,只要你的项目上网,就必须加载ssl证书,它的重要性风云以前的博文有详细介绍,这不再赘述。看到生成的两个文件:ssl.crt、ssl.key 则表示成功。当然,此证书为自签名证书,只适合于测试环境,如果上生产环境,还需专有数字证书,可以上阿云等申请时长为3个月的免费证书。ssl_context=('ssl.crt', 'ssl.key'):通过此参数指定证书文件和私钥文件。
个人数字ca证书制作步骤
03-30
ca证书制作步骤ca证书制作步骤ca证书制作步骤
本地局域网HTTPS解决方案 CA证书
aaddda123的博客
09-01 1780
本地局域网HTTPS访问web站点解决方案windows平台安装mkcertlinux平台安装mkcert使用证书 windows平台安装mkcert 安装choco powershell管理员安装 Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol
网络安全—部署CA证书服务器
本散修的一些学习心得与笔记,道友请自便。
01-03 2999
使用windows Server 2003环境。部署CA证书服务器,实现申请、颁发证书
行业分类-设备装置-无线局域网移动终端申请证书的方法及证书管理系统.zip
09-02
在无线局域网环境中,正确地管理和应用证书对于保障移动终端的网络安全至关重要。这不仅涉及到个人隐私的保护,也关系到企业敏感信息的安全。因此,了解并掌握无线局域网移动终端申请证书的方法以及证书管理系统的...
网络准入加CA证书认证配置
01-10
在本文中,我们将详细介绍如何配置网络准入加CA证书认证,以实现安全的网络访问控制。该配置示例将dot1X、GUEST VLAN、DHCP、IAS、AD、CA证书认证等技术结合起来,提供了一个完整的网络准入解决方案。 首先,让我们...
计算机信息管理技术在网络安全应用.pdf
09-20
1. 网络虚拟技术:在网络安全管理中,虚拟网络技术可以提供更好的网络环境隔离和访问控制,通过创建虚拟局域网(VLAN)可以将网络分段,从而降低潜在的网络威胁,提高网络安全性。 2. 漏洞防护技术:网络漏洞是攻击...
CA证书的制作
04-29
CA证书是目前网络安全中最重要的组件之一,其在现实生活中的应用极为广泛,任何一个权威机构均需一个CA证书。因此,证书的制作也就极为关键而有用。本文将详细介绍CA证书的制作流程,包括实验目的、实验内容、实验...
internet Widgits Pty Ltd.cer
05-16
mac 的证书
自建CA并生成自签名SSL证书
qq_43548590的博客
07-18 550
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧。
局域网内搭建浏览器可信任的SSL证书
【大漠孤烟】 的专栏
11-05 2805
本来对我对https的认证逻辑其实理解没有多深入,以前也只是用过SSL证书进行TCP传输加密而已,经过对openssl的学习现在至少在理解上达到了及格水平,不过这次学习论证与探索的过程我个人极其不愉快,本来这东西在有了理解之后大家都看得出来不是什么很难的东西,事实上我也只用了一天半就搞定了。但是网上充斥大量垃圾内容,不光没有什么正向内容甚至不少内容还TM起了误导的作用,整个中文互联网检索体系下就没有找到一篇文章稍微详细描述整个搭建逻辑与流程,简直了,最终我只能从https原理和openssl。
CA证书(企业内网搭建CA服务器生成自签名证书CA签署,实现企业内网基于key验证访问服务器)...
weixin_34319374的博客
04-19 4919
一些CA基础 PKI:Public Key Infrastructure签证机构:CA(Certificate Authority)注册机构:RA证书吊销列表:CRL X.509:定义了证书的结构以及认证协议标准版本号 主体公钥序列号 CRL分发点签名算法 扩展信息颁发者 发行者签名有效期限主体名称 证书类型:证书授权机构的证书服务器用户证书获取证书两种方法:1)使用证书授权...
openssl给内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 8515
openssl给内网IP生成ca证书(ssl证书)
Windows Server 2016搭建企业CA证书服务
wendr的博客
06-15 8837
Windows Server - 建设篇 第一章 Windows Server 2016搭建企业CA证书服务
自建CA给内部网站颁发SSL证书
wendr的博客
06-18 4526
Windows Server - 建设篇 第二章 自建CA给内部网站颁发SSL证书
锐捷网络——CA数字证书配置——数字证书常见问题和故障
君逍遥o
09-16 1168
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权
在虚拟机上安装证书颁发机构(CA
04-02
### 如何在虚拟机中安装和配置证书颁发机构 (CA) #### 一、概述 证书颁发机构(Certificate Authority, CA)是一种负责签发数字证书并验证身份的可信实体。通过建立自己的私有 CA,可以在内部网络环境中实现安全的身份验证机制[^3]。 --- #### 二、环境准备 为了在虚拟机中完成 CA 的安装与配置,需满足以下前提条件: 1. **操作系统**: 可以选择 Linux 或 Windows 操作系统作为基础平台。 - 如果使用 Anolis OS8.8,则可参考 Easy-RSA 工具来创建和管理 CA[^1]。 - 若采用 Windows Server 2022,则可通过 Active Directory Certificate Services 来部署企业级 CA。 2. **工具支持**: - 对于 Linux 平台,推荐使用 `Easy-RSA` 创建CA 和从属 CA。 - 在 Windows 上,需要启用 AD CS 功能模块,并确保服务器已加入活动目录域。 3. **硬件资源**: - 至少分配 2GB RAM 给虚拟机实例。 - 提供足够的磁盘空间以存储日志文件、密钥材料及其他相关数据。 --- #### 三、具体实施步骤 ##### 1. 使用 Easy-RSA 构建 Root CA (Anolis OS8.8) - 安装必要软件包: ```bash sudo dnf install epel-release -y && sudo dnf install easy-rsa openssl -y ``` - 初始化工作目录结构: ```bash mkdir /etc/easy-rsa && cd /etc/easy-rsa cp -r /usr/share/easy-rsa/* . ./easyrsa init-pki ``` - 设置变量参数:编辑 vars 文件定义组织名称等相关字段。 - 生产根密钥及签名请求: ```bash ./easyrsa build-ca ``` 此命令会提示输入密码保护短语以及确认生成自签名根证书。 ##### 2. 请求子 CA 认证 当构建多层 PKI 结构时,可能还需要设立中间层次别的 CAs。此时无需重新指定新的 RSA 密钥对而是由上级 root ca 授权发放许可凭证即可[^2]: - 准备 CSR 文档提交给主管审核批准; - 明确记录下导出位置方便后续引用调用; 注意务必妥善保管好这些敏感资料以防泄露风险! ##### 3. 基于 Windows Server 实现自动化流程 对于微软生态下的解决方案来说,主要依靠图形界面配合脚本来达成目的: - 启动角色向导添加 ADCS 特性; - 自定义策略模板适配业务需求场景; - 开启在线响应器功能增强可用度; 最终使得局域网内的客户端设备能够无缝获取到经过验证过的 SSL/TLS 加密连接保障[^4]. --- #### 四、注意事项 - 确保所有涉及加密运算的操作均遵循行业标准算法强度要求。 - 将生成的关键资产存放在离线介质上隔离保存减少攻击面暴露几率。 - 定期审查现有规则集防止过期失效影响正常运转秩序。 ---
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值