搭建CA认证中心及搭建https实战

已于 2022-03-25 14:37:32 修改
阅读量7.6k 收藏 14
点赞数 8
文章标签: 后端 centos
于 2022-03-25 14:24:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42170102/article/details/123734281
版权

自建CA证书客户端及使用nginx搭建https
一、CA简单介绍CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。
二、OpenSSL实现CA证书认证中心的搭建
1、搭建环境 本文使用centos7 2~3台
2、CA配置介绍

####################################################################
[ ca ]
default_ca= CA_default      #默认CA
####################################################################
[ CA_default ]

dir=/etc/pki/CA     # CA的工作目录这里其实是定义了一个变量
certs= $dir/certs      # 证书存储路径
crl_dir= $dir/crl      # 证书吊销列表
database= $dir/index.txt   # 证书数据库列表


new_certs_dir= $dir/newcerts       #新的证书路径

certificate = $dir/cacert.pem  # CA自己的证书
serial= $dir/serial        #下一个证书的编号,十六进制,默认00
crlnumber= $dir/crlnumber  #下一个要被吊销的证书编号,十六进制,默认00
crl = $dir/crl.pem         # The current CRL
private_key = $dir/private/cakey.pem # CA 的私钥
RANDFILE= $dir/private/.rand   # private random number file

x509_extensions = usr_cert      # The extentions to add to the cert
name_opt = ca_default       # 命名方式
cert_opt = ca_default       # CA的选项

default_days= 365           # 默认证书的有效期限
default_crl_days= 30            # how long before next CRL
default_md= default     # use public key default MD
preserve= no            # keep passed DN ordering
policy= policy_match    #策略
                                #这里记录的是 将来CA在搭建的时候,以及客户端申请证书的时候,
                                需要提交的信息的匹配程度。
[ policy_match ]                # match意味着CA以及子CA必须一致
countryName = match             # 国家
stateOrProvinceName= match      # 州或者省
organizationName= match         #组织公司
organizationalUnitName  = optional
commonName= supplied
emailAddress= optional
[ policy_anything ]             #可以对外提供证书申请,这时,证书的匹配就可以不用那么严格
countryName = optional
stateOrProvinceName = optional
localityName= optional
organizationName= optional
organizationalUnitName  = optional
commonName  = supplied
emailAddress= optional

3、安装CA软件包

[root@xuegod63 Desktop]# rpm -qf `which openssl `openssl-1.0.2k-8.el7.x86_64


一般centos系统都会自带 openssl
 [root@xuegod63 CA]# vim /etc/pki/tls/openssl.cnf
 改:172 #basicConstraints=CA:FALSE为:172 basicConstraints=CA:TRUE  
  #让自己成为CA认证中心
4、CA 自签名证书(构造根CA)1、创建所需要的文件生成证书索引数据库文件 touch /etc/pki/CA/index.txt指定第一个颁发证书的序列号 echo 01 > /etc/pki/CA/serial如果不提前创建这两个文件,那么在生成证书的过程中会出现错误。首先构造根CA的证书。因为没有任何机构能够给根CA颁发证书,所以只能根CA自己给自己颁发证书。2、生成私钥文件私钥文件是非常重要的文件,除了自己本身以外,其他任何人都不能取得。所以在生成私钥文件的同时最好修改该文件的权限,并且采用加密的形式进行生成。# 执行命令生成私钥文件。

```powershell
[root@localhost ~]#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048 )
Generating RSA private key, 2048 bit long modulus
...............+++
.......................................+++
e is 65537 (0x10001)
Enter pass phrase for /etc/pki/CA/private/cakey.pem:            #这里需要输入密码
Verifying - Enter pass phrase for /etc/pki/CA/private/cakey.pem:        #这里确认密码

查看一个生成的私钥文件,就会发现已经被加密了

[root@localhost ~]#cat /etc/pki/CA/private/cakey.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,E
最低0.47元/天 解锁文章
互联网协议 — TLS — 使用 OpenSSL 自建 CA 中心
烟云的计算
01-05 2143
目录 文章目录目录使用 OpenSSL 自建 CA 并签发证书示例Step 1. 设定 OpenSSL CA 配置文件Step 2. 搭建 CA 中心Step 3. 生成 CA 证书的 RSA 私钥Step 4. 生成 CA 的根证书(公钥)Step 5. 查看 CA 证书的内容Step 6. 生成 Server 证书密钥文件 & 证书签名请求Step 7. 签发 Server 证书 使用 OpenSSL 自建 CA 并签发证书 OpenSSL 是一个强大的安全套接字层密码库,利用 OpenSSL
OpenStack ussuri 私有云平台搭建企业级实战
悦分享
10-12 1953
openstack是一个云操作系统,这个操作系统控制着数据中心中的计算,存储和网络资源。所有这些资源的管理都是通过API来来实现的,并且管理资源都有相应的认证机制。在openstack中有一个叫做dashboard的仪表盘,这个仪表盘通过web界面可以管理这些在DC中的资源。除了能提供IaaS功能外,你还可以使用orchestration,错误管理和服务管理等服务来确保应用的高可用性。
搭建CA认证中心
weixin_33681778的博客
12-03 1321
前言CA英文全称CertificationAuthority,即数字证书认机构。A是负责发放和管理数字证书的权威机构,并作为用户数字认证中受信任的第三方,承担公钥体系(PKI)中公钥的合法性检验的责任,在互联网上,实现用户与用户、用户与企业之间的数字身份认证。本文通过使用openssl进行搭建私有CA认证体系,从而简单地了解CA的认证过程。搭建私有CA,可以实...
实战搭建CA认证中心,使用CA证书搭建HTTPS
weixin_34244102的博客
11-06 1230
CA认证中心服务端:xuegod63.cn IP:192.168.0.61客户端 :xuegod64.cn IP:192.168.0.62CA:Certificate Authority的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数...
搭建开源CA认证-申请颁发证书
抽象空间的博客
06-30 5406
OpenSSL 生成随机数: 格式:openssl rand -base64|-hex NUM NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2 示例1:[root@CentOS7 data]#openssl rand -hex 12 生成的是16进制数,2位16进制数是1个字节,12个字节就是12*2=24位16进制数 示例2: base64:...
搭建私有CA
sxy2475的博客
09-09 3817
搭建私有CA 搭建私有CA 前言 什么是CA 什么是CA证书 获取CA证书两种方法 opensslcnf文件 搭建CA认证中心 申请证书 颁发证书 吊销证书 前言 什么是CA CA是Certificate Authority的缩写,也叫“证书授权中心”。 在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到
CA 认证过程及 https 实现方法
11-20 4559
CA 认证过程 CA 概述:Certificate Authority 的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书CA 认证的流程和公安局派出所颁发身份证的流程一样 认证中心CA)的功能有:证书发放、证书更新、证书撤销和证书验证。 CA 证书作用:身份认证,实现数据的不可否认性。 我们先回顾一下身份证的办理过程: 带上户口本(证明你合法)-》当地派出所(认证机构)-》签发证书(审核有效信息)-》你去领证书 接下来我们回顾数字证书认证过程如下图: 证书请求文件:CSR 是
CA认证-https实现
黎明的奔跑
01-15 3939
一.CA认证流程 实验环境 CA认证中心服务端 lewis63 IP:192.168.1.63 客户端 lewis64 IP:192.168.1.64 认证中心CA)的功能有:证书发放、证书更新、证书撤销和证书验证。 CA证书作用:身份认证--->数据...
SMPP协议中文版:揭秘通信协议基础与实战搭建
![SMPP协议中文版]...通过详细讨论协议搭建实战过程,包括开发环境的准备、客户端和服务器端的开发与配置,以及短信业务系统的集成示例,本文旨在为读者提供一个全面的SMPP协议应用指南
如何搭建CA
weixin_33885676的博客
09-23 440
今天小编讲讲怎么搭建CA,开讲之前先说一一下什么是CA,发送数据过程:发送方: 计算数据特征值----> 使用私钥加密特征值 ---> 随机生成密码对称加密整个数据 ---> 使用接受方公钥加密密码接收方: 使用私钥解密密码 ----> 解密整个数据 ----> 使用公钥验证身份 ----> 比较数据特征值那么问题来了,谁来管理公钥,任何在...
创建私有CA
weixin_34062469的博客
09-16 161
创建私有CA:openssl的配置文件:/etc/pki/tls/openssl.cnf(1) 创建所需要的文件 # touch index.txt # echo 01 > serial #(2) CA自签证书 # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) # openssl...
自建CA认证
叱咤少帅的博客
08-29 635
内网认证CA认证
CA证书服务器搭建
潇峰的博客
12-09 2155
证书服务器搭建 主机申请证书 CMD ——MMC 添加单元,将证书添加以后 其他设备申请证书 ISE 先下载CA的根证书 在ISE 导入根证书 申请个人证书 提交以后会有个人证书生成 将个人证书绑定以后完成 ...
CA证书服务搭建
m0_58153689的博客
09-05 8171
准备一:域服务搭建 步骤一:搭建CA证书服务器,设置固定IP地址(192.168.0.)与主机名(DC)打开服务器管理器-->点击添加角色和功能 步骤二:一路回车到达选择服务器角色位置,选中Active Directory域服务与Active Directory 目录服务继续下一步并进行安装 步骤三:在服务器管理器小旗中选中将此服务器提升为域控制器--在开始界面选择创建新林为laosec.cn并依次往下配置 CA证书服务搭建
我实践:自建CA证书颁发(openssl)
超级无敌棒棒糖
09-30 1198
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
CA认证中心)的搭建和应用
weixin_33726318的博客
12-02 651
实验名称:CA认证中心)的搭建和应用 实验目标:使用windows 2003 server 搭建证书服务器(CA) 使用windows 2003 server 搭建WEB服务器 使用证书对web服务器进行ssl加密 实验拓扑: 什么是CA CA认证中心 CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证...
openssl 自建CA签发证书 网站https的ssl通信
weixin_34162695的博客
03-27 240
<<COMMENTX509 文件扩展名 首先我们要理解文件的扩展名代表什么。DER、PEM、CRT和CER这些扩展名经常令人困惑。很多人错误地认为这些扩展名可以互相代替。尽管的确有时候有些扩展名是可以互换的,但是最好你能确定证书是如何编码的,进而正确地标识它们。正确地标识证书有助于证书的管理。 编码 (也用于扩展名) # DER=扩展名DER用于二进制DER编码的证书。这些证书...
数字证书实战经验——自建CA中心签发证书
最新发布
JunyeeJunZuo的博客
10-13 1281
采用标准等openssl工程目录结构,openssl自建证书通常需要两种配置文件,可通过cnf配置文件修改证书签发的配置项。root ca的cnf配置文件中间证书的cnf配置文件(intermediate ca cnf)+ root-ca- certs -- 公钥生成目录- crl -- 证书吊销目录- csr -- 证书签发请求文件目录- db -- 证书数据库- newcerts -- openssl生成的临时证书目录- private -- 私钥目录。
Openssl:构建CA的过程并实现web服务基于https访问的网络架构
weixin_34153893的博客
04-18 152
本文环境 RedHat 5.8 本博文主要内容:加密算法、CA介绍和配置等、web利用CA认证构建https安全传输 1、在互联网上数据额传输有两种:明文传输和加密传输。明文传输的协议有:ftp、http、smtp、telnet。但是为了数据的完整性和安全性,所以后来引用了加密等相关手段来保证数据的安全和完整性。 2、数据的机密性: 为了保证我们传输的数据不让第三方看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值