OCSP server搭建

本文详细介绍了使用OpenSSL生成各种类型的数字证书的过程,包括自签名CA证书、客户端证书等,并展示了如何配置扩展来支持OCSP装订等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

openssl req -new -nodes -out ca.csr -keyout ca.key -extensions v3_ocsp -config opensslca.cnf
openssl ca -in ca.csr -out ca.crt -extensions v3_OCSP -config opensslca.cnf

openssl genrsa -des3 -out client.key
openssl req -new -key client.key -out client.csr -config opensslca.cnf
openssl ca -in client.csr -out client.crt -extensions v3_OCSP -config opensslca.cnf


openssl req -new -x509 -keyout ca.key -out ca.crt -days 3650 -config opensslca.cnf -extensions v3_ocsp
openssl genrsa -des3 -out client.key 2048
openssl req -new -key client.key -out client.csr -config opensslca.cnf -extensions v3_ocsp
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -extensions v3_ocsp -config opensslca.cnf
明天待续
### 如何在 Rocky Linux 上配置和搭建 HTTPS 服务器 #### 准备工作 为了确保安全通信,在 Rocky Linux 上部署 HTTPS 服务器前需完成基本环境准备。这包括但不限于更新现有软件包至最新版本以及安装必要的依赖项。 ```bash sudo dnf update -y ``` #### 安装 Apache HTTP Server 和 OpenSSL Apache 是广泛使用的 Web 服务器之一,支持 SSL/TLS 协议来提供加密连接。OpenSSL 库用于处理这些协议中的加密操作。 ```bash sudo dnf install httpd mod_ssl openssl -y ``` 启动并启用 `httpd` 服务以便于开机自启: ```bash sudo systemctl start httpd sudo systemctl enable httpd ``` 确认防火墙已开放相应的端口(通常为443),以允许外部访问HTTPS流量[^3]。 ```bash sudo firewall-cmd --zone=public --add-service=https --permanent sudo firewall-cmd --reload ``` #### 获取 SSL 证书 有两种方式获取有效的 SSL 证书:一种是从受信任的第三方 CA 购买;另一种则是利用 Let's Encrypt 提供免费自动化的 ACME (Automatic Certificate Management Environment) 方案签发短期有效性的证书。 对于后者,可以借助 Certbot 工具简化流程: ```bash sudo dnf install certbot python3-certbot-apache -y sudo certbot --apache ``` 按照提示完成域名验证过程后即可获得一对公私钥文件及对应的中间CA链文件。 #### 配置虚拟主机 编辑 `/etc/httpd/conf.d/ssl.conf` 文件定义新的 VirtualHost 块指向上述生成好的密钥路径,并指定ServerName参数匹配实际站点地址。 ```apache <VirtualHost *:443> DocumentRoot "/var/www/html" ServerName example.com SSLEngine on SSLCertificateFile /path/to/cert.pem SSLCertificateKeyFile /path/to/key.pem </VirtualHost> ``` 重启HTTPD使更改生效: ```bash sudo systemctl restart httpd ``` 此时应该能够通过浏览器正常加载带有锁形图标的安全页面了! #### 测试与优化 建议定期检查日志记录排查潜在错误信息,同时考虑实施HSTS(HTTP Strict Transport Security),OCSP Stapling等功能进一步增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值