OPENSSL-CA

最新推荐文章于 2025-10-07 22:23:52 发布
原创 最新推荐文章于 2025-10-07 22:23:52 发布 · 216 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统 #网络

一、OpenSSL简单介绍

OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL能使用户/服务器应用之间的通信不被攻击者q听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。

通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htm

Linux下使用OpenSSL生成证书 http://www.linuxidc.com/Linux/2015-05/117034.htm

利用OpenSSL签署多域名证书 http://www.linuxidc.com/Linux/2014-10/108222.htm

在OpenSSL中添加自定义加密算法 http://www.linuxidc.com/Linux/2015-08/121749.htm

二、安装相应软件包

$ sudo apt-get install apache2      ##安装Apache

$ sudo apt-get install openssl      ##安装openssl


$ sudo apt-get install libssl-dev    ##安装openssl开发库


$ sudo apt-get install bless      ##编辑器使用 bless 十六进制编辑器,需预先安装


三、openssl.cnf简单释义

$ vi /usr/lib/ssl/openssl.cnf



127 [ req_distinguished_name ]
128 countryName                    = Country Name (2 letter code)##国家名,2个字母代码简称
129 countryName_default            = CN  ##中国就是CN
130 countryName_min                = 2
131 countryName_max                = 2
132 
133 stateOrProvinceName            = State or Province Name (full name)##州或省的名字
134 stateOrProvinceName_default    = beijing
135 
136 localityName                    = Locality Name (eg, city)  ##本地城市名
137 localityName_default            =beijing
138 0.organizationName              = Organization Name (eg, company) ##组织(公司)名
139 0.organizationName_default      = beijing www company
140 
145 organizationalUnitName          =Organizational Unit Name(eg,section)##组织单元(部门)名
146 organizationalUnitName_default  = www
147
148 commonName                      = Common Name(e.g.server FQDN or YOUR name)##服务器域名
149 commonName                      = www.baidu.com
150 commonName_max                  = 64
151 
152 #emailAddress                  = Email Address      ##Email地址
153 emailAddress                    = admin@baidu.com
154 emailAddress_max                = 64
155 
156 # SET-ex3                      = SET extension number 3
157 
158 [ req_attributes ]
159 #challengePassword              = A challenge password  ##修改密码
160 challengePassword              = 
161 
163 challengePassword_min          = 4
164 challengePassword_max          = 20


四、成为数字证书认证机构(CA),并为该CA生成证书

①将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹

Ubuntu安装OpenSSL

$ sudo ln /usr/lib/ssl/openssl.cnf .

$ mkdir demoCA

$ cd demoCA

$ mkdir certs crl newcerts

$ touch index.txt serial  ##index.txt为空;


##serial必须写入内容,且为字符串格式的数字(比如1111)

设置好这些后,现在就可以创建和发布证书了

②为自己的 CA 生成自签名证书,这意味着该机构是被信任的,而它的证书会作为 root 证书

$ openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf


Ubuntu安装OpenSSL

注:务必记住自己所输入的密码,命令输出的文件存储:ca.key 与 ca.crt 中。文件 ca.key 包括 CA 的私钥,而 ca.crt 包含了公钥证书。

五、为客户生成证书

现在,我们是 root CA 了,可以为客户签数字证书了,客户是www.baidu.com。

①生成公开/私有密钥对

$ openssl genrsa -des3 -out server.key 1024

Ubuntu安装OpenSSL

注:需要提供一个密码来保护你的密钥,密钥会被保存在 server.key 文件中.

②生成证书签名请求 ,一旦公司拥有了密钥文件,它应当生成证书签名请求(CSR)。CSR 将被发送给 CA,CA 会为该请求生成证书(通常在确认 CSR 中的身份信息匹配后)。

$ openssl req -new -key server.key -out server.csr -config openssl.cnf


Ubuntu安装OpenSSL

注:请记住自己的输入

③生成证书。CSR 文件需要拥有 CA 的签名来构成证书(在现实世界中,CSR 文件常常被发送给可信任的 CA 签名)。输入CA的密钥,使用我们自己的 CA 来生成证书:

$ openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

六、在网站中使用PKI



$ sudo vi /etc/hosts


127.0.0.1 www.baidu.com

②启动一个拥有之前生成的证书的简单的 web 服务器

$ cp server.key server.pem

$ cat server.crt >> server.pem ##将密钥和证书合并成一个文件

$ openssl s_server -cert server.pem -www ##使用server.pem启动服务器


③默认情况下,服务器会监听 4433 端口。输入https://www.baidu.com:4433


注:提示此连接不受信任是因为我们的CA是自签名的,如是VeriSign 之类的 CA 授权的话就不会出现该情况了。

在这里可以配置让火狐接受我们的自签名(其他浏览器大同小异),配置如下:

菜单--->首选项--->高级--->证书--->查看证书(证书管理器)--->导入--->进入你配置openssl的目录,选择ca.crt--->打开(下载证书)--->勾上“信任使用此CA标识的网站”--->确定,然后刷新网站


SOURCE LINK [url]http://www.linuxidc.com/Linux/2015-10/124001p2.htm[/url]
OpenSSL ca证书命令操作详解
N阶二进制的博客
11-10 2378
OpenSSLca命令用于操作证书颁发机构(CA,Certificate Authority)的操作,包括签发、撤销和管理证书。以下是 OpenSSL 版本 3.0 中openssl ca命令的详细使用手册。请注意,由于文本长度限制,以下内容可能不包含所有参数的详细说明。你可以使用命令在终端中获取帮助信息。
openssl创建CA证书教程
justlpf的专栏
09-21 5598
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
OpenSSL 使用openssl工具搭建私有CA
海阔天空
05-19 9152
SSL(安全套接层)是为网络通讯提供安全及数据完整性的一种安全协议,TLS(SSL的继承版本)与SSL在传输层对网络连接进行加密。SSL用以保障在数据传输的安全利用数据加密技术,可确保数据在网络上之传输过程中不会被窃取和监听。功能:机密性,认证,完整性,重放保护两阶段协议,分为握手阶段和应用阶段握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商...
OpenSSL 加密算法与证书管理全解析:从基础到私有 CA 实战
coder4_的博客
10-07 776
本文详细介绍了加密算法、CA证书管理以及OpenSSL工具的使用。首先讲解了对称加密、非对称加密(含RSA/DSA)、单向哈希算法(如MD5/SHA系列)及其综合应用,包括数据加密、数字签名及混合方案。接着分析了中间人攻击风险,阐述了CA和证书如何通过数字签名确保通信安全,并介绍了SSL/TLS协议及HTTPS的实现原理。最后聚焦OpenSSL,涵盖Base64编码、常用命令(如单向哈希dgst、密码生成passwd、随机数生成rand、密钥对管理genrsa/rsa),以及通过openssl ca命令建立
利用openssl创建一个简单的CA
热门推荐
雕虫小技
04-26 3万+
 本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单的CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。  该简单的CA将建立在用户自己的
OPENSSL-转载
心生于物而死于物
11-24 248
一、OpenSSL简单介绍 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL能使用户/服务器应用之间的通信不被攻击者q听,并且始终对服务器进行认证,还可选...
精选资源
openssl-3.3.3.tar.gz
03-05
这些工具让OpenSSL成为了CA(证书颁发机构)和需要进行证书管理的应用的理想选择。它支持X.509标准,这是互联网上使用的公钥基础设施(PKI)的基础。对于需要进行SSL/TLS配置的服务器管理员来说,OpenSSL工具集能够...
精选资源
openssl-windows64
11-08
5. **证书签名请求(CSR)**:OpenSSL 的命令行工具可以生成CSR,这是向证书颁发机构(CA)申请数字证书时提交的文件,包含公开密钥和组织信息。 6. **密钥管理**:OpenSSL 可以生成、导入、导出和管理公钥和私钥对,...
精选资源
openssl-1.1.1l.tar.gz
10-05
OpenSSL 包含工具来创建和管理数字证书,如 `openssl req` 用于创建证书请求,`openssl x509` 用于签发或处理 X.509 证书,以及 `openssl ca` 用于运行自己的证书颁发机构(CA)。 5. **命令行工具** OpenSSL ...
精选资源
openssl-1.1.1a.tar.gz
08-10
例如,可以使用`openssl req`生成证书请求,`openssl x509`签发证书,`openssl ca`管理证书颁发机构。 6. **加密算法**:OpenSSL支持多种加密算法,包括对称加密(如AES)、非对称加密(如RSA、DSA)、散列函数(如...
安装opensslopenssl-develd 的依赖包
05-18
注意,实际生产环境中,通常会使用权威CA签发的证书,而不是自签名证书,因为浏览器可能会警告用户自签名证书的安全风险。 总的来说,opensslopenssl-devel在IT安全领域扮演着核心角色,是搭建安全网络服务不可或...
OpenSSL命令--ca
VitalityShow(网络通讯)
10-28 1万+
详细介绍了opensslca命令的参数、应用环境、配置、缺点等信息
Openssl ca命令
weixin_33729196的博客
03-05 367
一、简介 ca命令能够签发证书请求文件以及生成CRL列表   二、语法 openssl ca [-verbose] [-config filename] [-name section] [-gencrl] [-revoke file][-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_CA_...
openssl CA
xiazai_2012的专栏
04-03 712
建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于 /usr/ssl/openssl.cnf (SUSE => /etc/ssl/openssl.cnf)内,详情可参见 config (1) 。在终端中使用如下命令建立目录结构: $ mkdir -p ./demoCA/{private,newce
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 5330
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书及证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
(13) openssl ca(签署和自建CA)
weixin_30616969的博客
10-03 302
用于签署证书请求、生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库。因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能。 证书请求文件使用CA的私钥签署之后就是证书,签署之后将证书发给申请者就是颁发证书。 在签署时,为了保证证书的完整性和一致性,还应该对签署的证书生成数字摘要,即使用单向加密算法。 由于openssl ca命令对配置文件(默认为/...
使用 openSSL 实现CA
weixin_33807284的博客
09-09 226
前言CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证...
Openssl建立CA系统
09-02 4193
本文介绍了数字证书应用相关技术,简单介绍了SSL通信,RSA非对称加密算法,并用一个简单实例介绍了RSA的加密与解密应用,并用openssl建立用户自己的CA系统,包括创建CA的根证书和密钥,给用户签名证书,撤销用户证书,管理证书撤销列表。   关键词:SSL、RSA简单实例、matlab乘幂取余、OPENSSL应用、用户CA建立
openssl使用自定义CA签名证书
lotuswhl的博客
07-24 1933
使用Openssl生成CA证书并使用CA证书对自己网站的证书自签名的过程以下是我在查询相关数据资料时根据自己的实践的成功案例。网上的问题很多,这里留存一份自己成功的案例备用。1、下载带有openSSL的apache安装包,我下载的为apache_2.2.11-win32-x86-openssl-0.9.8i.msi,安装后确认一下bin路径下的openssl.exe,ssleay32.dll和lib
user@ubuntu:~/nvr8064/torchlight$ find . -name "libcrypto.so*" -type f -path "*build_dir*" ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/libcrypto.so.1.1 ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/ipkg-novatek/libopenssl/usr/lib/libcrypto.so.1.1 ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/ipkg-install/usr/lib/libcrypto.so.1.1 哪个是生成的库文件啊
最新发布
12-23
你运行的命令找到了多个 `libcrypto.so*` 文件,这是正常的。我们来逐个分析这些路径,告诉你 **哪个是真正的生成库文件**,以及它们之间的关系。 --- ## ✅ 答案:所有这些都是同一个库的不同“副本”,原始生成位置是: ```text ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/libcrypto.so.1.1 ``` 这是 **编译阶段生成的原始动态库文件**。 其余的是在 **打包阶段** 被复制到不同目录用于后续打包 `.ipk` 软件包时使用的副本。 --- ## 🔍 详细解释每个文件的作用 | 文件路径 | 含义 | 是否为“源” | |--------|------|-----------| | `./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/libcrypto.so.1.1` | ✅ 编译输出的核心库文件<br>由 `make` 编译 OpenSSL 源码后直接生成 | ✔️ 是原始生成文件 | | `./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/ipkg-novatek/libopenssl/usr/lib/libcrypto.so.1.1` | 打包用的 staging 目录<br>表示这个文件将被打包进名为 `libopenssl` 的 `.ipk` 包中 | 📦 是副本(用于安装) | | `./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/ipkg-install/usr/lib/libcrypto.so.1.1` | 统一安装根目录(union root)<br>OpenWrt 构建系统用来合并所有要安装的文件 | 📂 是副本(用于集成) | --- ### 🧱 构建流程简图(以 OpenSSL 为例) ```bash 1. 解压源码 → dl/openssl-1.1.1w.tar.gz → build_dir/openssl-1.1.1w/ 2. 编译 → 生成: build_dir/.../openssl-1.1.1w/libcrypto.so.1.1 ← 就是你要检查的! 3. 安装(make install)→ 复制到临时安装目录: ipkg-novatek/libopenssl/usr/lib/libcrypto.so.1.1 4. 打包 → 最终生成 .ipk 包: bin/packages/aarch64_novatek/libopenssl_1.1.1w-rX_aarch64.ipk 5. 可选:集成进固件 → 复制到 ipkg-install → 进固件镜像 ``` --- ## ✅ 如何验证 `ENGINE_by_id` 是否存在? 你应该使用第一个文件进行符号检查: ```bash nm -D ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/libcrypto.so.1.1 | grep ENGINE_by_id ``` 或者更完整一点: ```bash readelf -Ws ./build_dir/target-aarch64-ca76ca55-linux/openssl-1.1.1w/libcrypto.so.1.1 | grep ENGINE_by_id ``` ✅ 正常输出应类似: ```text 1234: 000000000005c3f0 112 FUNC GLOBAL DEFAULT 11 ENGINE_by_id ``` 如果没输出,说明 `enable-engine` 没有生效。 --- ## 💡 提示:如何确认你修改的 Makefile 已生效? 你可以查看构建日志: ```bash make package/feeds/packages/openssl/compile V=s ``` 然后搜索: ```text ./Configure linux-x86_64 ... enable-shared ... enable-engine ... ``` 确保 `enable-engine` 出现在配置命令中。 --- ## ✅ 总结:你应该怎么做? | 目标 | 操作 | |------|------| | 检查是否支持 ENGINE | 使用:<br>`nm -D build_dir/.../libcrypto.so.1.1 \| grep ENGINE_by_id` | | 修改功能行为 | 修改 `package/feeds/packages/openssl/Makefile` 中的 `CONFIGURE_ARGS += enable-engine` | | 验证构建参数 | 加 `V=s` 查看详细日志,确认 `./Configure` 命令包含 `enable-engine` | | 不要改 `dl/` 或 `build_dir/` 下的文件 | 它们是自动生成的,只读! | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值