自建PKI根证书并颁发时间戳证书的完整步骤

于 2024-06-14 08:51:16 发布
阅读量891 收藏 14
点赞数 19
分类专栏: 证书 文章标签: 安全 经验分享 笔记 学习方法 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsr154278963/article/details/139668637
版权

文章目录

前言

提示:命令中的 \ 是指换行符,这样方便阅读

使用工具

openssl

下载地址

openssl

本文使用的是 Win64 OpenSSL v3.3.1.MSI 安装包,

安装OpenSSL

  1. 下载并安装OpenSSL

    • 安装OpenSSL,记住安装路径(例如C:\OpenSSL-Win32)。

  2. 配置环境变量

    • 右键点击“计算机”图标,选择“属性”。
    • 点击“高级系统设置”,然后点击“环境变量”。
    • 在“系统变量”中找到并编辑“Path”变量,添加OpenSSL的bin目录路径,例如:C:\OpenSSL-Win32\bin
    • 打开命令提示符,输入openssl,确保OpenSSL已正确安装。

步骤一:创建根证书

  1. 创建工作目录

    mkdir C:\OpenSSL-Win32\ca
cd C:\OpenSSL-Win32\ca

  2. 生成根证书私钥

    openssl genrsa -out JemmyLoveJennyEVRootCA.key 4096

    这里使用RSA 4096位加密算法生成私钥,名为JemmyLoveJennyEVRootCA.key。

  3. 准备根证书配置文件openssl.cnf,内容如下:

    [req]
prompt = no
distinguished_name = dn
x509_extensions = v3_ca

[dn]
commonName = JemmyLoveJenny EV Root CA
organizationName = JemmyLoveJenny Inc.
countryName = CN

[v3_ca]
keyUsage = critical, keyCertSign, cRLSign
basicConstraints = critical, CA:true
subjectKeyIdentifier = hash

    这个配置文件定义了根证书的Subject DN和X509扩展项,表明这是一个根CA证书。

  4. 生成根证书请求文件

    openssl req -new -key JemmyLoveJennyEVRootCA.key -out JemmyLoveJennyEVRootCA.csr -sha256 -config ./openssl.cnf

    使用步骤1生成的私钥和步骤2的配置文件,生成根证书请求文件JemmyLoveJennyEVRootCA.csr。

  5. 自签名颁发根证书

    openssl x509 -req -sha256 -days 7300 -extfile ./openssl.cnf -extensions v3_ca \
     -signkey JemmyLoveJennyEVRootCA.key -in JemmyLoveJennyEVRootCA.csr \
     -out JemmyLoveJennyEVRootCA.crt

    使用根证书私钥对请求文件进行自签名,生成根证书JemmyLoveJennyEVRootCA.crt,有效期为20年。

步骤二:颁发时间戳证书

颁发一个符合要求的时间戳证书。以下是详细步骤:

  1. 生成时间戳服务器的私钥(PKCS#1格式):
openssl genrsa -out tsa_pkcs1.key 2048
  1. 创建时间戳证书签发请求(CSR):
openssl req -new -key tsa_pkcs1.key -out tsa.csr -config tsa.cnf

其中,tsa.cnf文件内容如下:

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_tsa
prompt = no

[req_distinguished_name]
C = CN
ST = Beijing
L = Beijing
O = JemmyLoveJenny
OU = JemmyLoveJenny TSA
CN = JemmyLoveJenny TSA

[v3_tsa]
extendedKeyUsage = critical,timeStamping
keyUsage = critical,digitalSignature
  1. 使用根证书签发时间戳证书:
openssl x509 -req -in tsa.csr -out tsa.crt -CA JemmyLoveJennyEVRootCA.crt -CAkey JemmyLoveJennyEVRootCA.key -CAcreateserial -days 365 -sha256 -extfile tsa.cnf -extensions v3_tsa

请确保根证书JemmyLoveJennyEVRootCA.crt和根证书私钥JemmyLoveJennyEVRootCA.key与签发时间戳证书的CA一致。

  1. 验证时间戳证书:
openssl x509 -in tsa.crt -text -noout

检查输出信息,确保以下内容:

  • 签名算法为sha256WithRSAEncryption
  • 扩展项X509v3 Extended Key Usagecritical的,且只包含Time Stamping
  • 扩展项X509v3 Key Usagecritical的,且包含Digital Signature

现在,您应该得到了一个符合要求的时间戳证书tsa.crt和对应的私钥tsa_pkcs1.key。将它们与根证书一起使用,即可在应用程序中进行时间戳签名。

这样,我们就创建了一个自签名的EV根证书,并用其签发了一个符合要求的时间戳证书。在使用时间戳证书时,需要同时提供根证书以构成完整的证书链。时间戳证书tsa.crt包含了关键的EKU扩展,且其私钥tsa.key是PKCS#1格式。

TIF星空
关注
  • 19
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于OpenSSL的时间戳签名和验证
FlySpace随笔
03-31 8154
首先自建CA,并生成时间戳签名证书. REM 生成CA证书 openssl req -new -x509 -keyout ca.key -out ca.crt REM 生成时间戳签名证书 openssl genrsa -des3 -out tsakey.pem 1024 REM 去除私钥密码
部署PKI证书服务详解
一起努力共同进步,为了未来一起奋斗吧!
09-20 1402
PKI (Public key infrastructure) 公钥基础设施通过使用公钥技术和数字签名来确保信息安全,并负责验证数字证书持有者身份的一种技术PKI 由 公钥加密技术 数字证书 认证机构 CA和注册机构RA 组成数字证书 用于用户的身份验证CA 是PKI 的核心,负责管理PKI 中所有的用户RA 接受用户的请求,负责将用户的有关申请信息 和存档备案。
使用openssl创建三级带时间戳扩展证书方法
student_zz的博客
06-06 1669
使用openssl创建三级带时间戳扩展证书方法     直接进入主题,首先先下载好openssl,下载地址https://www.openssl.org/source/。具体看下图:         至于openssl的安装网上有很多教程,查一下就好了,你只要保证安装好它就行...
Visual Studio 添加数字证书时间戳
qq_43615820的博客
07-08 1306
Visual Studio 添加数字证书
【技术应用】【证书】创建长有效期时间证书文件
weixin_34122810的博客
09-03 155
一切问题总有它的解决方法。就看你寻不寻找 vs2010一样适用,我在window server 2008 、vs2010 下操作成功 ============================================= http://www.cnblogs.com/watersoftness/archive/2010/04/23/1718870.html 【原】创建为C...
什么是时间戳时间戳的获取方式
最新发布
Mxy18851251178的博客
12-24 1475
时间戳
PKI/CA与数字证书技术大全
12-06
PKI的核心组件包括密钥管理、证书颁发证书撤销列表(CRL)和时间戳服务。 2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证并签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、...
KEPServerEX 6 证书补丁.zip
04-14
在公共密钥基础设施(PKI)系统中,证书由权威的证书颁发机构(CA)签发,用来验证其他证书的合法性。当KEPserver6在进行通信时,如果系统缺少正确的证书,可能会导致连接失败或安全警告,特别是当服务器需要...
基于区块链的PKI数字证书系统.pdf
12-11
系统中的区块包含区块头和区块体两个部分,其中区块头包含父区块的散列值、时间戳、Merkle等信息,区块体中包含若干条记录,每一条记录包括数字证书以及该证书相应操作执行后的证书状态。 基于区块链的PKI系统的...
基于PKI的匿名数字证书系统的研究
01-19
本文提出一个在现行的PKI体系中发布匿名数字证书的方案,并依据此方案构建了一个匿名数字证书系统。  0 引言  目前在Internet上广泛使用基于公共密钥的身份机制,公钥基础设施PKI(Public KeyInfrastructure)...
计算机安全PKI(“证书”文档)共68张.pptx
11-16
计算机安全PKI(“证书”文档) 计算机安全PKI(Public Key Infrastructure)是一种使用公钥技术来实施和提供安全服务的基础设施。它的目标是为所有应用提供统一规范的安全服务。PKI由公钥证书证书作废列表、证书...
c语言实现绕过驱动签名验证,亚洲诚信数字签名工具修改版 能通过驱动签名验证 免修改系统时间 增加时间戳...
weixin_36250977的博客
05-24 1406
#pragma comment(lib, "detours.lib")#define _CRT_SECURE_NO_WARNINGS#include #include #include #include #include #include #includeusing fntCertVerifyTimeValidity = decltype(CertVerifyTimeValidity);using...
时间戳签名和或证书无法验证或已损坏(已解决)
热门推荐
qq_34100267的博客
05-22 4万+
时间戳签名和或证书无法验证或已损坏 代码:0x80096005
时间戳签名和/或证书无法验证或已损坏
柳鲲鹏
06-02 1751
https://www.microsoft.com/zh-CN/download/details.aspx?id=39115https://www.microsoft.com/zh-CN/download/details.aspx?id=39110
代码签名证书中的时间戳的作用
10-26 810
我们要知道时间戳是和代码签名证书共同提供的服务,从名字上来看就是一个对于时间的定位。时间戳主要是应用于代码签名证书的重签问题上。 众所周知,SSL证书都是有有效期的一般有效期是1~2年,域名SSL证书在到期后续签只需要重新在服务器上安装SSL证书就好,但是代码签名证书在到期后总不能在续期之后把以前所有的代码重新签发一次吧,那样太麻烦了,所以时间戳就比较重要了。 时间戳的作用: 当要对代码或软件进行签名是,警徽净产生的哈希值发送给时间戳服务器,时间抽服务器进行时间戳反签名,这样在客户端下载代码之后就
时间戳
whs19910204648688的专栏
09-10 1万+
1.什么是时间戳 (引用百度百科) 时间戳是自 1970 年 1 月 1 日(00:00:00 GMT)至当前时间的总秒数。它也被称为 Unix 时间戳(Unix Timestamp)。 Unix时间戳(Unix timestamp),或称Unix时间(Unix time)、POSIX时间(POSIX time),是一种时间表示方式,定义为从格林威治时间1970年01月01日00时00分0
PDF时间戳数字签名
running_snail_的专栏
11-01 1万+
可信时间戳是由联合信任时间戳服务中心(TSA:Time Stamp Authority)颁发的具有法律效力的电子凭证, 时间戳与电子数据唯一对应,其中包含电子数据 “指纹”、产生时间、时间戳服务中心信息等。可信时间戳的法律效力、作用我就不说了 直接贴代码吧。import com.itextpdf.text.DocumentException; import com.itextpdf.text.Rec
vs2013安装出现时间戳签名和/或证书无法验证或已损坏以及,matlab mex其他类似问题也有整理
三眼二郎
03-20 1万+
先来一张成功照片镇楼,我是做图像的,近期用到了matlab的mex,mex需要编译器,于是我首先下载了gcc。本来以为按照网上的教程该环境变量和matlab识别可以用了,谁知道怎么弄都不行。那个我也不知道他们是怎么成功的,反正我是越弄越乱………………恶心死了,下面放一个那种情况的图。然而并没什么用。最后我从师兄哪里拷来了vs2013,先是看网上说安上了也没用,需要重装matlab,要不没法识别,心...
PKI体系下的数字时间戳增强安全与效率研究
论文背景是全球化信息时代,电子商务和电子政务的兴起对信息安全提出了更高的要求,尤其是数据的不可抵赖性,传统PKI体系虽然能保障数据的完整性和保密性,但无法满足长期的不可否认性需求,因此数字时间戳技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值