如何配置CA服务器

最新推荐文章于 2024-12-13 16:22:10 发布
原创 最新推荐文章于 2024-12-13 16:22:10 发布 · 4.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #web服务 #数据库 #http服务器 #浏览器 #ssl

本文详细介绍了如何配置CA服务器,包括创建验证字权威数据库、配置验证字权威和服务器文档、配置浏览器以及用户向CA服务器申请证书的步骤,确保安全的https访问。

1创建验证字权威数据库

1)点击菜单"文件"--"数据库"--"新建"

2)服务器:选择验证字权威服务器

模板服务器:选择验证字权威服务器

模板:点击"显示高级模板",选择"Domino R5验证字权威"模板(cca50.ntf)

数据库名称:certca.nsf(在R4.6X中必须是该名称)
3)点击"确定"按钮
2配置验证字权威数据库

1)打开验证字权威数据库,左边点击"验证字权威配置"视图

2)右边点击"创建验证字权威密钥文件和证书"

密钥文件信息:

密钥文件名称:存储验证字权威密钥和证书的文件名称,相对于管理员客户端的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是CAKey.kyr

密钥文件口令:推荐最少六个字符

口令证实:重新输入口令

文件尺寸:

密钥尺寸:选择512或1024

层次名称:提供了验证字权威的唯一标识,包括

普通名称:验证字权威名称,例如Cyber CA

组织:公司名称,例如Cyber

州\省:至少三个字符,例如beijing

国家:两个字符的国家代码,例如CN

点击"创建验证字权威密钥文件"按钮,出现一个窗口显示验证字权威的信息,点击"确定"按钮
3)右边点击"配置验证字权威简要表"

配置相关选项,点击"保存关闭"按钮
4)右边点击"创建服务器密钥文件和证书"

服务器密钥文件信息:

密钥文件名称:存储服务器密钥和证书的文件名称,相对于管理员客户端的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr

密钥文件口令:推荐最少六个字符

口令证实:重新输入口令

文件尺寸:

密钥尺寸:选择512

验证字权威证书标识:输入验证字权威名称,例如Cyber CA

服务器层次名称:提供了您的站点的唯一标识,包括

普通名称:服务器名称,例如www.cyber.com

组织:公司名称,例如Cyber

州\省:至少三个字符,例如beijing

国家:两个字符的国家代码,例如CN

点击"创建服务器密钥文件"按钮,输入验证字权威密钥文件的口令,点击"确定"按钮.

出现一个窗口显示服务器密钥文件的信息,点击"确定"按钮
二)配置验证字权威服务器文档

1打开公共通信录数据库,选择"服务器"视图下的"服务器"子视图,编辑CA服务器的文档

2点击标签"端口"--"Internet端口"--"web"

SSL密钥文件名称:输入CA服务器的密钥文件名称,相对于服务器的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr

SSL端口号:443

SSL端口状态:启用

验证选项:根据需要选择以下验证方式(客户端证书,名字和口令,匿名)

3重新启动服务器生效

4启动http服务器任务
(三)配置服务器验证字管理数据库,为web服务器向CA服务器申请证书

注意:该数据库是系统自动生成的.若您的web服务器和CA服务器是同一台Domino服务器,则web服务器使用CA服务器的证书,您不需配置该步.

1打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图

2右边点击"创建密钥文件",过程同上面的"创建验证字权威密钥文件和证书",在此不再赘述.

3右边点击"创建证书请求"

确认密钥文件名称

选择请求方式,共有两种:从CA站点粘贴;通过e-mail发送给CA.下面以前者为例来描述.

点击按钮"创建证书请求",输入该服务器的密钥文件的口令,点击"确定"按钮

在随后出现的创建证书请求的窗口中,将下面段落中的所有字符拷贝到剪贴板上,点击"确定"按钮

4提交证书请求

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"请求服务器证书",右边输入联系人信息,将第3步中剪贴板上的信息粘贴到下面的域中,点击"提交证书请求"按钮

5提取验证字权威作为信任的根证书

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"在您的服务器中接受该权威",在屏幕右边将最下面的段落拷贝到剪贴板上

6在服务器密钥文件中安装验证字权威证书作为信任的根证书

1)打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图

2)右边点击"在密钥文件中安装信任的根证书"

确认密钥文件名称

证书标识:输入验证字权威名称,例如Cyber CA

证书来源:选择"剪贴板"

将第5步中的剪贴板上的信息粘贴到下面的域中,点击按钮"将信任的根证书合并入服务器密钥文件"

输入验证字权威口令,点击"确定"按钮

查看合并信息,点击"确定"按钮

点击"确定"按钮

7验证字权威的管理员同意证书请求

1)打开验证字权威数据库,左边点击"服务器证书请求"视图

2)右边屏幕会出现web服务器提交的证书请求文档,打开该文档

修改使用期限,记住提取ID,点击"同意"按钮

输入验证字权威的口令,点击"确定"按钮

输入该站点的主机名,点击"确定"按钮

8提取服务器证书

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"提取服务器证书",右边输入刚才记下的提取ID,点击"提取签名的证书"按钮

将下面段落中的所有字符拷贝到剪贴板上

9在服务器密钥文件中安装签名的证书

1)打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图

2)右边点击"在密钥文件中安装证书"

确认密钥文件名称

证书来源:选择"剪贴板"

将第8步中的剪贴板上的信息粘贴到下面的域中,点击按钮"将证书合并入服务器密钥文件"

输入验证字权威口令,点击"确定"按钮

查看合并信息,点击"确定"按钮

点击"确定"按钮

10配置web服务器文档

1)打开公共通信录数据库,选择"服务器"视图下的"服务器"子视图,编辑web服务器的文档

2)点击标签"端口"--"Internet端口"--"web"

SSL密钥文件名称:输入web服务器的密钥文件名称,相对于服务器的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr

SSL端口号:443

SSL端口状态:启用

验证选项:根据需要选择以下验证方式(客户端证书,名字和口令,匿名)

3)重新启动服务器生效

4)启动http服务器任务

(四)配置浏览器,为用户向CA服务器申请证书

1浏览器信任该验证字权威

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"在您的浏览器中接受该权威",右边的窗口中点击"在您的浏览器中接受该权威"

连续点击五次"下一步"按钮,输入验证字权威名称,例如Cyber CA,点击"完成"按钮

2浏览器提交证书请求

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"请求客户端证书",右边的窗口中输入证书信息,联系人信息,加密长度选择512,点击"提交证书请求"按钮

在生成私有密钥的窗口中,点击"确定"按钮

设置communicator口令,点击"确定"按钮

3验证字权威的管理员同意证书请求

1)打开验证字权威数据库,左边点击"客户端证书请求"视图

2)右边屏幕会出现客户端提交的证书请求文档,打开该文档

选择在公共通讯录中注册证书

用户名称:从通讯录中选择使用该证书的用户

修改使用期限,记住提取ID,点击"同意"按钮

输入验证字权威的口令,点击"确定"按钮

4提取客户端证书

启动浏览器,在URL输入http://caservername/certca.nsf,其中caservername是您的CA服务器的名称.

左边点击"提取客户端证书",右边输入刚才记下的提取ID,点击"提取签名的证书"按钮

点击"接受证书"按钮

5(可选)如果您使用的是第三方的CA,还要在左边点击"注册客户端证书".

这样配置完成后,您就可以在URL中以https://的方式访问web服务器.

 

CA 服务搭建
m0_74102179的博客
09-20 853
CA 服务是信创环境安全体系的核心信任锚点,本文基于企业级应用需求,完整实现了 RSA 与国密双证书体系的搭建。在实际信创项目中,需根据业务场景灵活选择方案:RSA 方案兼容性强,适用于通用服务加密(如 Web数据库);国密方案符合国家密码管理局标准,适用于政务、金融等对合规性要求严格的领域。掌握 CA 服务的搭建、管理与验证方法,不仅能提升信创系统的安全防护能力,更能为后续 HTTPS 部署、数据传输加密、身份认证等场景提供基础支撑,是信创技术落地过程中的关键技能之一。
配置 linux1 为 CA 服务器,为 linux 主机颁发证书,证书颁发机构。
SWAplayAgame的博客
10-29 739
配置 linux1 为 CA 服务器,为 linux 主机颁发证书,证书颁发机构。
Domino SSL配置详解
10-29
Domino SSL配置详解,图示实例,简单方便,照着配置即可。 Domino关于SSL配置资料网上不多,大家可以参考一下。
CA配置
weixin_30889885的博客
06-04 383
porta ca配置1.生成服务器公钥、密钥keytool -keystore porta.jks -keypass 7788119 -storepass 7788119 -alias porta -genkey -keyalg RSA -dname "CN=porta.pzhu.cn, OU=servers, O=COMSYSNetCn"2.生成服务器证书keytool -keystore p...
CA配置说明
水上铁的专栏
05-25 1108
Fabric-CA提供3种方式来配置服务端和客户端: CLI命令行界面 环境变量 配置文件 在本节的其它教程中,我们一般是通过对配置文件进行更改来实现,当然我们其实也可以通过配置环境变量或CLI命令行来实现的。 举个例子,假如我们有下面这个客户端的配置文件 tls: # 开启 TLS (默认: false) enabled: false # 客户端侦听端口的TLS (默认: false) certfiles: client: certfile: cert.pem
Domino服务器SSL配置录像
李晨光原创IT博客
05-19 666
Domino服务器SSL配置录像 格式:avi, 大小:25M 时长: 6分钟 本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
windows server 2003配置CA服务器通过SCEP颁发证书-附件资源
03-02
windows server 2003配置CA服务器通过SCEP颁发证书-附件资源
windows server 2012CA证书服务器安装和配置
10-19
Windows Server 2012 CA 证书服务器安装和配置 Windows Server 2012 CA 证书服务器安装和配置是 windows 服务器中的一项重要功能,用于管理和颁发数字证书,以确保网络通信的安全性和身份验证。下面是 Windows ...
配置与管理CA服务器.pptx
03-07
配置与管理CA服务器】是Windows服务器配置与管理的一个重要环节,主要涉及到网络安全、加密机制以及数字证书的使用。此主题旨在让学生理解并掌握HTTPS的概念、加密机制,以及证书颁发机构(CA)的工作流程,同时...
上海贝尔RG200o-CA配置工具1.2
05-07
上海贝尔RG200o-CA配置工具1.2
配置ios ca server时需要注意的cdp-url问题
gotonet的专栏
10-29 978
出自:蛋蛋和妞妞的家 经验之谈,现转之,以备偶遇此问题时借用之。 以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的crypto pki server R3database level completedatabase archive pem password 7 01100F175804575D72iss
数据库服务器操作系统基本配置,数据库服务器操作系统基本配置
weixin_32865039的博客
08-11 814
数据库服务器操作系统基本配置 内容精选换一换华为云云堡垒机服务帮助中心,为用户提供产品介绍、快速入门、用户指南、最佳实践、常见问题、视频帮助、技术白皮书等技术文档,帮助您快速上手使用云堡垒机服务。CDM集群是指用户拥有的CDM实例,一个CDM集群由1个或多个虚拟机组成。一个用户可以创建多个CDM集群,例如为财务部门和采购部门各创建一个CDM实例,实现数据访问权限的隔离。本地环境是指用户自建或者租...
安装SQL Server 数据库时注意事项及优化SQL Server 数据库服务器配置
snowfoxmonitor的专栏
08-19 1806
安装SQL Server 数据库时注意及 优化SQL Server 数据库服务器配置 一:调整虚拟内存    1:计算机属性--性能--高级--设置驱动器上的页面文件大小,大小为物理内存的2陪,这个盘最好是跟系统盘分开的一个Raid上,单独逻辑盘,只为虚拟内存专用。二:使用AWE虚拟缓存。  配置的过程。(如果服务器的内存少于4GB,不用配置)   1.打开系统中的大内存支持(wind
CA服务器搭建
weixin_44524357的博客
06-20 553
root@AppSrv:/ssl# openssl ca -in server.csr -out server.pem #签发证书。CA服务器签名服务端证书也有时间限制,默认是1年,同样如果客户端的时间不在服务端证书的有效期内,哪客户端将不会信任此证书。root@AppSrv:~# update-ca-certificates #更新证书信任列表。# 放入的证书需要将后缀修改为 .crt。5.在CA服务器签署一个证书,后续传给其他需要证书的服务端使用。4.生成CA服务器证书。客户端信任CA服务器
网络安全—部署CA证书服务器
2401_88750741的博客
12-13 1638
从属CA在写名称的时候,不要填写可分辨后缀名,这里很奇怪的一个现象就是假设你填写了,那么你在安装完根CA颁发下来的证书后,你可能会无法开启证书颁发机构服务,这很奇怪,我也不清楚为什么,我也是慢慢往后退研究才发现这个问题(不过也有可能是我一个人原因,如果你也遇到这问题那就不要在从属CA服务器安装的时候填写可分辨后缀名)(右键->所有任务->颁发)首先我们对计算机名进行确认,安装了证书系统后我们是不能随意更改计算机名字的,因为以后颁发的证书都是和计算机也就是这一台的服务器名字有关。
Linux 搭建私有CA证书服务器之超详细版本
热门推荐
Harry_z666的博客
08-24 1万+
一、CA简介 CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证书。颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也是证明我们服务是一个合法的服务器,换句话说就是有了证书我们就可以清楚知道我们访问的服务器到底是不是我们真正想访问的服
CA登录服务器
AKA石头
07-26 982
1、生成CA签发用户证书的密钥-trsa指定密钥算法RSA。-b4096指定密钥的位数是4096位。安全性要求不高的场合,这个值可以小一点,但是不应小于1024。指定生成密钥的位置和文件名。-Cuser_ca指定密钥的识别字符串,相当于注释,可以随意设置。密码977721User2、生成CA签发服务器证书的密钥密码977721Host。...
证书服务器CA的搭建和管理
weixin_33958585的博客
09-26 2437
很多时候,我们希望在使用互联网的时候,我们的通信是受到保护的,而在互联网上活动时使用最多的莫过于使用网站了,所以我们就需要考虑如何加密使用网站的过程中所传送的消息,htts加密协议的出现解决了我们的困扰,而htts协议是基于证书的方式实现的,那如何用证书来保护我们在网站上所传送的消息了,要想使用证书,要么向互联上的专业证书机构去申请证书,要么自己搭建证书服务器CA)...
欧拉操作系统安装配置ca服务器
最新发布
09-04
<think> 嗯,用户现在的问题非常明确:他想在欧拉操作系统上安装和配置CA服务器。这让我意识到用户可能在搭建企业内部的安全认证体系,或是需要为HTTPS服务生成证书。用户之前还提到过dnf下载软件包的技巧,说明他对欧拉系统的包管理有一定了解,但这次需求更专业。 从技术角度看,配置CA服务器涉及几个关键步骤:安装OpenSSL、准备配置文件、生成根证书、设置目录结构。考虑到欧拉系统基于openEuler,我需要注意它的默认配置路径可能与CentOS稍有不同。用户特意提到"安装配置方法",说明他需要完整的操作流程,而不仅仅是安装命令。 关于引用部分,用户提供的dnf示例虽然不直接相关,但给了我启发:在说明安装步骤时,可以补充类似"--downloadonly"这样的实用技巧,帮助用户更灵活地管理软件包。不过配置CA主要依赖OpenSSL工具链,这点需要特别强调。 用户没有说明具体使用场景,但根据经验,企业内部CA通常需要配置更长的证书有效期和特定的策略扩展。因此在生成根证书的步骤里,我特意加入了"basicConstraints=CA:TRUE,pathlen:0"这个关键参数,这能确保证书被正确识别为CA证书而非终端实体证书。 最后想到,用户可能会忽略配置文件的重要性,所以详细说明了openssl.cnf的备份操作。还补充了验证环节,因为生成证书后不验证是常见失误。相关问题设计成阶梯式:从基础安装到高级部署,再到性能优化,这样无论用户是初学者还是专业运维都能找到延伸方向。 </think> 在欧拉操作系统上安装和配置CA服务器的完整步骤如下: ### 一、安装OpenSSL套件 ```bash sudo dnf install openssl openssl-devel -y ``` OpenSSL是创建和管理CA的核心工具,提供证书签发、验证等功能[^1]。 ### 二、配置CA目录结构 ```bash sudo mkdir -p /etc/pki/CA/{private,newcerts,crl} sudo chmod 700 /etc/pki/CA/private sudo touch /etc/pki/CA/index.txt sudo echo 1000 | sudo tee /etc/pki/CA/serial ``` 目录结构说明: - `private/`:存储CA私钥(权限700确保安全) - `newcerts/`:存放已颁发证书备份 - `crl/`:证书吊销列表 - `index.txt`:证书数据库 - `serial`:证书序列号计数器 ### 三、生成CA根密钥和自签名证书 1. **生成4096位RSA私钥**(密码保护): ```bash sudo openssl genrsa -aes256 -out /etc/pki/CA/private/ca.key 4096 ``` > 系统将提示输入保护密码,建议使用强密码(16位+含特殊字符) 2. **生成自签名根证书**(有效期10年): ```bash sudo openssl req -new -x509 -days 3650 \ -key /etc/pki/CA/private/ca.key \ -out /etc/pki/CA/ca.crt \ -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=CA/CN=MyRootCA" ``` > 参数说明: > `-subj`:证书主体信息(按需修改国家/组织/域名) > `-days 3650`:设置10年有效期 ### 四、配置openssl.cnf(关键步骤) ```bash sudo cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.bak # 备份原配置 sudo vi /etc/pki/tls/openssl.cnf ``` 修改以下关键配置段: ```ini [ CA_default ] dir = /etc/pki/CA # CA工作目录 certificate = $dir/ca.crt # CA证书路径 private_key = $dir/private/ca.key # CA私钥路径 [ req_distinguished_name ] # 设置DN默认值(与根证书信息匹配) countryName_default = CN stateOrProvinceName_default = Beijing localityName_default = Beijing organizationName_default = MyOrg organizationalUnitName_default = CA commonName_default = MyRootCA [ v3_ca ] # 确保包含CA扩展 basicConstraints = CA:TRUE,pathlen:0 ``` ### 五、颁发服务器证书(示例) 1. **生成服务器私钥**: ```bash openssl genrsa -out server.key 2048 ``` 2. **创建证书签名请求(CSR)**: ```bash openssl req -new -key server.key -out server.csr \ -subj "/C=CN/ST=Beijing/L=Beijing/O=MyApp/CN=app.mydomain.com" ``` 3. **CA签署证书**: ```bash sudo openssl ca -in server.csr -out server.crt \ -days 365 -extensions usr_cert \ -config /etc/pki/tls/openssl.cnf ``` > 输入CA私钥密码后完成签发,证书将自动记录到`index.txt` ### 六、验证证书链 ```bash openssl verify -CAfile /etc/pki/CA/ca.crt server.crt ``` 成功验证将显示:`server.crt: OK` ### 七、证书吊销流程 ```bash sudo openssl ca -revoke server.crt # 吊销证书 sudo openssl ca -gencrl -out ca.crl # 生成吊销列表 ``` --- ### 关键安全建议 1. **物理隔离**:生产环境CA服务器应与网络隔离 2. **密钥保护**:CA私钥必须加密存储(`-aes256`参数) 3. **定期轮换**:根证书有效期建议不超过10年 4. **日志审计**:监控`/etc/pki/CA/index.txt`变更
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值