Linux搭建CA服务

最新推荐文章于 2023-08-27 19:09:14 发布
最新推荐文章于 2023-08-27 19:09:14 发布
阅读量945 收藏 8
点赞数 2
CC 4.0 BY-SA版权
文章标签: 数据库 运维
原文链接:http://blog.51cto.com/zchui/2325311
本文详细介绍了在Linux系统中搭建CA服务的过程,包括安装工具、配置文件、创建CA及客户端证书,以及证书吊销和管理的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是CA认证?

CA认证,即CA认证机构,为电子签名相关各方提供真实性、可靠性验证的行为。

什么是CA证书?

证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

CA证书类型?

  • 证书颁发机构自签名证书
  • 服务器证书
  • 用户证书

Linux系统如何搭建CA服务?

1.安装相关工具:openssl
yum install openssl -y
2.openssl相关配置文件:/etc/pki/tls/openssl.cnf
指定默认使用的CA

[ ca ]
default_ca      = CA_default            # The default ca section
CA的相关配置
[ CA_default ]
dir             = /etc/pki/CA               ​    ​    ​    ​# Where everything is kept,CA的工作目录
certs           = $dir/certs                ​    ​         # Where the issued certs are kept,已经颁发的证书存放目录
crl_dir         = $dir/crl                  ​    ​        ​  ​ # Where the issued crl are kept,证书吊销列表存放目录
database        = $dir/index.txt            ​      ​ # database index file,证书的索引数据库

new_certs_dir   = $dir/newcerts             ​   # default place for new certs,新证书存放目录
certificate     = $dir/cacert.pem           ​    ​ # The CA certificate,CA证书
serial          = $dir/serial               ​    ​    ​    ​# The current serial number,当前证书编号
crlnumber       = $dir/crlnumber            ​  # the current crl number,当前吊销证书编号

crl             = $dir/crl.pem              ​    ​    ​   # The current CRL,当前的吊销证书
private_key     = $dir/private/cakey.pem # The private key,CA私钥
RANDFILE        = $dir/private/.rand        ​ # private random number file,随机文件

default_days    = 365                       ​    ​    ​# how long to certify for,证书有效期
default_crl_days= 30                        ​    ​    ​# how long before next CRL,发布证书 吊销列表的周期
default_md      = sha256                    ​    ​  # use SHA-256 by default,算法
preserve        = no                                    # keep passed DN ordering

policy          = policy_match    ​    ​    ​    ​    ​    ​#选择使用的策略类型
\# For the CA policy
[ policy_match ]    ​    ​    ​    ​    ​    ​    ​    ​    ​    ​#第一种策略
countryName             = match    ​    ​    ​    ​     ​#是否匹配国家
stateOrProvinceName     = match    ​    ​    ​    #是否匹配省

organizationName        = match    ​    ​    ​    ​  #是否匹配组织名称
organizationalUnitName  = optional    ​    ​   #是否单元名称
commonName              = supplied    ​    ​    ​  #通用名
emailAddress            = optional    ​    ​    ​    ​   #邮箱

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

3.创建CA

(1)创建索引数据库文件和指定证书编号 ​ ​ ​

touch /etc/pki/CA/index.txt
echo 01 >/etc/pki/CA/serial

(2)CA自签名证书

生成私钥:

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成自签名证书:

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

Linux搭建CA服务
(3)客户端创建申请文件
生成客户端私钥:

(umask 066;openssl genrsa -out app.key 1024)

生成申请文件:

 openssl req -new -key app.key -out app.csr

Linux搭建CA服务
将生成的申请文件发送到CA颁发服务器

scp app.csr 192.168.128.130:/etc/pki/CA/

(4)CA服务器为客户端颁发证书

openssl ca -in app.csr -out certs/app.crt -days 100

Linux搭建CA服务
(5)将生成的证书发送给申请的客户端

 scp certs/app.crt 192.168.128.129:

证书吊销
生成吊销证书序号文件

echo 01 >crlnumber

吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

生成吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

注意事项:
1.必须要提前创建证书数据库引导文件/etc/pki/CA/index.txt
2.指定证书编号,证书颁发完成后会自动更新证书序号

转载于:https://blog.51cto.com/zchui/2325311

linux CA证书详细配置
weixin_69084468的博客
01-09 1480
Linux中配置CA(证书领域)服务器涉及一系列步骤,这些步骤包括安装必要的软件,创建自签名的根证书,以及为客户端和服务器创建和签发证书。下面是一个简化的教程,包括每条命令的用途。- `openssl req`: 生成一个新的证书签名请求(CSR)。- `openssl ca`: 使用CA的根证书签发新的证书。- `-aes256`: 使用AES-256加密私钥。- `-extensions`: 指定证书扩展。- `-keyfile`: 指定CA的私钥文件。- `-cert`: 指定CA的证书文件。
2025网络建设与运维技能大赛Linux部分CA服务器部署
网络安全、网络建设与运维竞赛资料培训请联系主页
06-13 751
CA(Certificate Authority,证书颁发机构)是负责签发和管理数字证书的机构。提供加密通信避免浏览器访问 HTTPS 出现“不受信任证书”警告实现内部服务的身份认证步骤内容安装 OpenSSL提供证书生成工具初始化 CA建立 CA 数据目录签发根证书CA 的身份凭证生成 CSR 请求模拟一个服务的证书申请签发用户证书有效期5年,支持通配符域名分发与信任将证书复制并追加到系统信任链中。
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 9165
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证。
linux 认证服务搭建,linux搭建CA认证服务器并认证服务
weixin_33856202的博客
05-03 543
Write out database with 1 new entriesData Base Updated查看CA的私钥[root@vipuser200 ~]# vim /etc/pki/CA/private/cakey.pem-----BEGIN ENCRYPTED PRIVATE KEY-----MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI...
linuxCA服务器安装
独自陶醉
01-04 1万+
转载来自:http://hi.baidu.com/mx87/blog/item/32ca90fc715ffcfffd037f08.html 本文在LINUX AS3.0+apache2.0.x,openssl0.97上实验通过 首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。 2
Linux 部署CA数字证书服务
weixin_33910385的博客
11-16 1510
CA数字证书服务 CA Certificate Authority 数字证书授权中心 被通信双方信任的,独立的第三方机构 负责证书颁发,验证,撤销等管理 PKI公钥基础设施 一套标准的密钥管理平台 通过公钥加密,数字证书技术确保信息安全 PKI体系的基础组成 权威认证机构(CA) 数字证书库,密钥备份及恢复系统 证书作废系统,应用接口 OpenSSL...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1741
CA证书 CA是证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
linux搭建CA认证服务器并认证服务.docx
07-05
下面将详细介绍如何在Linux系统上搭建CA认证服务器并进行服务认证。 首先,我们需要安装必要的工具,即OpenSSL。OpenSSL是一个开源的库,提供了加密算法、SSL/TLS协议以及用于创建数字证书的工具。在大多数Linux...
linux搭建CA认证服务器并认证服务.doc
12-08
### Linux搭建CA认证服务器服务认证流程详解 #### 一、引言 在现代网络安全领域,证书颁发机构(Certificate Authority,简称CA)扮演着至关重要的角色。它负责验证网络中的实体身份,并为这些实体颁发数字...
Linux下如何颁发证书:学习使用openssl搭建一个CA
shinfocom
08-11 399
这两天学习了openssl在LInux中的使用,openssl是一款开源的加密工具,在Linux环境下,我们能够利用它来搭建一个CA来实现证书的发放,可以用于企业内部使用的加密工具。在介绍openssl之前,首先描述一下关于“身份认证+数据加密”的实现方法原理。 如何实现“身份验证+数据加密”,请看下面的一张流程图(自己画得,比较简陋) 整个加密过程: 发...
Linux 搭建私有CA证书服务器之超详细版本
热门推荐
Harry_z666的博客
08-24 1万+
一、CA简介 CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证书。颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也是证明我们服务是一个合法的服务器,换句话说就是有了证书我们就可以清楚知道我们访问的服务器到底是不是我们真正想访问的服
linux搭建ca服务器搭建,linux下安装EJBCA 搭建私有CA服务器
weixin_29495679的博客
05-02 2090
linux下安装EJBCA 搭建私有CA服务器EJBCA是一个全功能的JAVA的CA系统软件,我们可以用此搭建私有CA服务器;一:首先我的测试环境:1. linux mint18.3 62位:同ubuntu2. ejbca_ce_6_5_0 : 下载地址https://sourceforge.net/projects/ejbca/files/ejbca6/ejbca_6_5_0/3.jbo...
Linux下创建私有CA服务器
码农崛起
07-19 3870
什么是证书?   它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。   理论上,人人都可以找个证书工具,自己做一个证书。 什么是CA?   CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书?   CA证书,就是CA颁发的证书。   前面说...
Linux系统搭建私有CA证书服务器
微赚淘客系统开发者博客
01-30 2746
一、CA简介   CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证书。颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也...
Linux下自建CA的实现
weixin_34403693的博客
09-22 492
CentOS7上搭建lamp环境要求如下,搭建在同一台虚拟机上,实现下述3个功能:vhost1: pma.stu13.com, phpMyAdmin, 同时提供https服务vhost2: wp.stu13.com, wordpressvhost3: dz.stu13.com, DiscuzVmware机器情况如下: CA服务器:192.168.2.100/24...
linux下创建CA以及颁发证书
weixin_33825683的博客
08-26 911
一、创建私有CA:使用工具openssl模拟创建CAOpenssl程序包分解:Openssl由三部分组成:加密库libcrypt、服务器端实现ssl功能会话的库、命令行工具Openssl工具使用详解:#rpm -ql openssl第一个功能库:libctypto:主要用来实现加密解密,一些用来实现加密解密的程序,有可能都要调用到libcrypto库,加密解密程序库会被众多应...
linux搭建CA认证
weixin_34336526的博客
09-07 2055
我们知道,当客户端与服务器端建立会话之前,首先是客户端发送请求,只有通过TPC/IP三次握手后,客户端与服务器端才能建立ssl会话。握手的过程简单的说也可以总结为三个步骤,第一步:客户端和服务器双方共同商量使用什么加密算法以及加密等等。 第二步:客户端发送证书给服务器,目的是为了让服务器相信他。 第三步:服务器相信了,就生成对称密钥,将请求页面发送给客户端。 最...
linux中自建CA服务器和管理示例
weixin_34397291的博客
08-02 274
一、自建证书 示例操作: 1、生成密钥:CA私钥的存储位置为/etc/pki/CA/private下一般存储名字为cakey.pem的名字权限只有属主有权限(因为和配置文件中的文件保持一直)[root@wukui CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)...
CA服务器搭建linux
最新发布
07-31
搭建一个 CA(Certificate Authority)服务器是管理数字证书和保障网络安全的重要步骤。使用 OpenSSL 工具可以快速完成这一...通过以上步骤,可以在 Linux 系统上成功搭建一个基本的 CA 服务器,并生成和管理数字证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值