私有CA(Certificate Authority)认证配置:详细过程版

最新推荐文章于 2025-04-08 21:56:23 发布
最新推荐文章于 2025-04-08 21:56:23 发布
阅读量1.2k 收藏 2
点赞数 4
分类专栏: web服务 文章标签: linux nginx web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_58833554/article/details/132992244
版权

CA认证过程

CA(Certificate Authority),即认证中心。主要作用是为用户发放数字证书,作为身份验证,实现数据的不可否认性。数字证书可发放、更新、撤销、验证。

数字证书签名和使用的全过程:
1.证书申请者生成CSR证书请求文件和客户端私钥。
2.证书申请者发送CSR给证书颁发机构。
3.证书颁发机构使用根证书私钥对CSR进行签名,生成CRT证书文件。
4.证书颁发机构发送CRT证书文件给证书申请者。
5.证书申请者使用CRT证书文件和私钥进行https安全认证。

私有CA认证

私有证书认证指自己充当证书颁发机构,为我们的网站颁发证书,实现网站加密认证。

1.安装nginx,且必须支持–with-http_ssl_module 模块,如果没有则需源码安装
#nginx -V 查看nginx安装配置

一般yum安装的nginx也会默认包括这个模块,如果没有就在源码编译的时候添加进去

像我下面就是yum直接下载安装的,也包含了这个模块

[root@ly001 ~]# nginx -V
nginx version: nginx/1.18.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/opt/nginx-1.18 --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module

我下面的操作都是在源码安装的nginx上操作的,跟yum安装的没什么区别,就目录不一样而已,根据自己的目录来,我展示这个yum的就是想说yum下载的就直接支持–with-http_ssl_module模块而已。

然后还需要openssl的支持,yum下载一个就好了

yum install openssl -y

然后开始生成我们的证书。

先创建一个文件夹保存证书相关文件,然后生成密钥文件

mkdir  /usr/local/nginx/ssl
openssl  genrsa   -out  /usr/local/nginx/ssl/server.key  1024

然后填写证书申请文件,填写自己的信息就好了

要填的信息分别是:国家,省份,城市,公司,部门,域名,邮箱,密码,可选的公司名称。

后两项直接回车就好了,不填也没什么,反正这是私网证书。

[root@localhost ~]# openssl  req  -new -key  /usr/local/nginx/ssl/server.key -out /usr/local/nginx/ssl/server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,

If you enter '.', the field will be left blank.
-----

Country Name (2 letter code) [XX]:CH
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:GuangZhou
Organization Name (eg, company) [Default Company Ltd]:nginx
Organizational Unit Name (eg, section) []:ssl
Common Name (eg, your name or your server's hostname) []:www.test.com
Email Address []:qfasf.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

填好申请文件以后直接执行下面的命令生成证书

openssl req  -x509 -days 365 -key /usr/local/nginx/ssl/server.key  -in /usr/local/nginx/ssl/server.csr  -out /usr/local/nginx/ssl/server.crt

然后查看我们的证书文件

[root@localhost ~]# ls /usr/local/nginx/ssl/
server.crt  server.csr  server.key

证书生成以后就可以去配置文件里使用了

server {
    listen  443 ssl;
    server_name  www.game.com;
    charset   utf-8;
    ssl_certificate      /usr/local/nginx/ssl/server.crt;
    ssl_certificate_key  /usr/local/nginx/ssl/server.key;
    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;
    location / {
        root  /www/game;
        index  index.html index.htm;
    }
}

然后重启nginx,用https来访问我们的网站

systemctl restart nginx.service

!](https://img-blog.csdnimg.cn/781f7c435c574bcd9a5e377d2faad351.png)

可以看到浏览器显示我们的证书无效,当然了,这是我们的私网证书,浏览器是不认可的,想在公网配置证书是要认证机构颁发的,也就是要买才行。

虽然证书无效但是还是能看到我们证书的信息的

在这里插入图片描述

到这里就配置证书完成了。

在写这篇文章的时候也有参考其它文档,如有侵权请联系告知删除。

CA证书认证流程
weixin_57431906的博客
04-18 7465
设备 对于设备的需求:需要三台设备:这里选用三台虚拟机 CA:安装DNS,CA服务 (windows servers 2012) IP:192.168.10.10 gateway:192.168.10.1 DNS:192.168.10.10 WEB:安装IIS服务(windows serves 2012) IP:192.168.10.20 gateway:192.168.10.1 DNS:192.168.10.10 Client:作为客户端访问 IP:192.168.10.30 gat
CA认证流程(Certificate Authority
weixin_56711920的博客
01-23 1910
CA认证流程详
利用OpenSSL实现私有 CA 搭建和证书颁发
写Bug的小白的博客
08-13 1322
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件
私有 HTTPS 证书创建与 Nginx 配置实战指南
最新发布
专注分享编程开发与技术进阶干货!
04-08 1194
本文详细介绍了如何创建私有 HTTPS 证书并在 Nginx配置使用。通过 OpenSSL 生成自签名证书,结合 Nginx 设置 HTTPS 服务,实现局域网内安全通信。文章涵盖私钥与证书生成、Nginx 配置调整及常见问题解决步骤,适合开发测试或内部网络使用。无需公共 CA,快速部署 HTTPS,兼顾实用性与安全性,是网络管理员的必备技能!
创建私有CA
weixin_34062469的博客
09-16 163
创建私有CA:openssl的配置文件:/etc/pki/tls/openssl.cnf(1) 创建所需要的文件 # touch index.txt # echo 01 > serial #(2) CA自签证书 # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) # openssl...
构建私有CA和证书
qq_59671942的博客
09-03 861
1.修改配置文件/etc/pki/tls/openssl.cnf,修改organizationName=supplied。根CA自签名证书,根CA是最顶级的认证机构,没有人能够认证他,所以只能自己认证自己生成自签名证书。/etc/pki/tls/openssl.cnf这个文件CA配置文件。传输这个证书/etc/pki/tls/www.qf.com.csr到CA端。根CA服务器:/etc/pki/CA 192.168.252.148。网站服务器:/etc/pki/tls 192.168.252.149。
创建私有CA和证书申请
心之所向,不负初衷
09-10 2262
一、OpenSSL:CA默认配置信息openssl 配置文件:/etc/pki/tls/openssl.cnf该配置文件中以 “[配置段]”,的形式配置相关信息======================openssl.cnf部分配置信息============================================== 和CA相关的配置文件,可修改 ##################
certificate-authority:我的个人证书颁发机构的 Drupal 前端 UI
07-22
创建私有 CA 密钥: openssl genrsa -des3 -out ca.key 4096 创建有效期为 10 年的新证书 openssl req -new -x509 -extensions v3_ca -key ca.key -out ca.crt -days 3650 安装 将 ca.key 和 ca.crt 文件放在 ...
CA私有颁发机构配置.pdf
11-12
在IT行业中,私有颁发机构(Private Certificate Authority,简称PCA)是用于企业内部网络中的一种安全机制,它允许组织自行签发和管理数字证书,以确保数据传输的安全性。以下将详细阐述如何配置一个CA私有颁发机构...
私有CA搭建与多应用集成:Tomcat、Springboot HTTPS实践
本文档主要介绍了如何在IT环境中搭建并应用私有CACertificate Authority)到Tomcat和Springboot系统中,以实现更有效的HTTPS安全通信。私有CA作为证书签发机构,简化了多服务之间的SSL/TLS证书管理,避免了频繁的...
私有CA部署1
08-04
私有CA(Private Certificate Authority)是指在组织内部部署的证书颁发机构,用于颁发和管理数字证书。私有CA可以提供高效、安全的证书颁发服务,满足组织内部的证书需求。 2. 私有CA的组成部分 私有CA部署通常...
部署私有CA实现https网站最佳实践
04-21
私有CACertificate Authority,证书授权中心)就是为了控制和管理这一过程,确保自建的网络环境或企业内部网络的安全性。下面将详细解释涉及的知识点。 首先,我们了解加密算法,这是保证通信安全的基础。对称...
私有CA搭建
weixin_42243133的博客
05-02 260
1、创建CA所需要的文件 生成证书索引数据库文件 touch /etc/pki/CA/index.txt 指定第一个颁发证书的序列号 1235 echo 01 > /etc/pki/CA/serial 查看证书内容 [root@centos880 CA]# openssl x509 -in zhengshu -noout -text 生成CA私有密钥于/etc/pki/CA/private openssl genrsa -out private/cakey.pem 2048 为CA自己颁
搭建私有CA
蜜獾互联网
06-05 460
4.生成私有CA的秘钥和私有CA的证书 这就是根CA 私有CA配置信息都在/etc/pki/tls/openssl.cnf这个配置文件中。3.安装在OpenSSL 这台服务器就作为根证书服务器 自己搭建一个私有CA机构。1.设置独立服务器这台服务器就作为私有CA服务器。2.更新请求yum源。
私有CA和证书
weixin_30819085的博客
02-14 250
证书类型 证书授权机构的证书 服务器 用户证书 获取证书两种方法 使用证书授权机构: 生成签名请求(csr ) 将csr发送给CACA处接收签名 自签名的证书: 自已签发自己的公钥 openSSL工具可以满足我们创建CA和证书 1)PKI: Public Key Infrastruc...
建立私有CA颁发证书
邢宇宇的博客
05-10 307
CSR(证书签名请求 Certificate Signing Request):CSR是一种数据文件,用于向证书颁发机构(CA)请求数字证书。当你希望在服务器上启用SSL/TLS加密连接时,你需要生成一个CSR文件并将其发送给CA。CSR包含了与证书相关的信息,如公钥、组织名称等。CA使用CSR来验证你的身份,并为你签发相应的数字证书。在公钥基础设斯(PKI)中,CSR是由证书申请者生成的文件,用于向证书颁发机构(CA)请求签发数字证书。
构建私有CA
Ghoy的博客
09-10 1723
前言什么是CACACertificate Authority的缩写,也叫“证书授权中心”。 它是负责管理和签发证书的第三方机构。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两个公司都必须信任C公司,才会使用C公司作为公章中介。什么是CA证书CA证书自然就是CA所颁发的证书,客户想申请证书就要通过自身的私钥向CA请求生成公钥证书。CA证书也是数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值