OCSP server搭建

最新推荐文章于 2025-05-23 13:27:21 发布
原创 最新推荐文章于 2025-05-23 13:27:21 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了使用OpenSSL生成各种类型的数字证书的过程,包括自签名CA证书、客户端证书等,并展示了如何配置扩展来支持OCSP装订等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

openssl req -new -nodes -out ca.csr -keyout ca.key -extensions v3_ocsp -config opensslca.cnf
openssl ca -in ca.csr -out ca.crt -extensions v3_OCSP -config opensslca.cnf

openssl genrsa -des3 -out client.key
openssl req -new -key client.key -out client.csr -config opensslca.cnf
openssl ca -in client.csr -out client.crt -extensions v3_OCSP -config opensslca.cnf


openssl req -new -x509 -keyout ca.key -out ca.crt -days 3650 -config opensslca.cnf -extensions v3_ocsp
openssl genrsa -des3 -out client.key 2048
openssl req -new -key client.key -out client.csr -config opensslca.cnf -extensions v3_ocsp
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -extensions v3_ocsp -config opensslca.cnf
明天待续
内网OCSP创建和部署指南
weixin_33734785的博客
09-08 1624
准备创建需要的环境1.1创建环境简介 Linux或window...
OCSP环境搭建--Windows Server 2016
CsdnCHong_566的博客
03-18 2802
OCSP环境搭建--Windows Server 2016 一. OCSP环境中相关信息 1. 服务器1 操作系统:Win Server 2016 Standard版 IP地址:172.16.0.19/23,网关:172.16.0.1,首选DNS:127.0.0.1 服务器角色:域控制器、证书颁发机构、radius服务器、DNS服务器 ...
【SSL部署与优化​】​​OCSP Stapling配置指南:减少证书验证延迟​​
最新发布
DZ Space
05-23 985
本文详细介绍了如何在 Nginx 和 Apache 服务器上启用 OCSP Stapling,以减少证书验证延迟并提升 HTTPS 性能。OCSP Stapling 的核心原理是服务器定期从 CA 获取 OCSP 响应并缓存,在 TLS 握手时直接发送给客户端,从而避免客户端单独查询 CA。文章分别提供了 Nginx 和 Apache 的配置步骤,包括修改配置文件、创建缓存目录、手动触发 OCSP 响应获取、设置自动更新任务以及重启服务器。此外,还介绍了如何验证 OCSP Stapling 是否生效,并列举
Lab 2 循序渐进配置Windows Server 2012 AD CS(颁发机构&联机响应篇)
weixin_33720452的博客
03-19 606
安全往往是企业管理的重中之重,我们的Boss希望我们的网站是加密的,邮件是加密的,文档是加密的,而且绝大多数的微软服务器产品都是需要公有的或者自建的证书,而AD CS可以为我们提供颁发和管理在采用软件安全系统中使用的公钥证书。证书服务这玩意我们也不可能天天和他打交道,配置好了之后,很长一段时间我们都不用管它。但是万事开头难,如何迈出这第一步,我相信最有效的方法就是做一次实验,...
CentOS8使用gmssl搭建demoCA及配置OCSP服务
MARS_098的博客
09-26 2939
本文档以CentOS8 + GmSSL2.5.4版本为例 1、GmSSL搭建CA 1.1 安装GmSSL 我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。 GmSSL的官方配置文档链接:关于GmSSL 可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc
OpeSSL命令---oscp
VitalityShow(网络通讯)
11-09 5205
在线证书状态工具。它使应用程序能够决定一个被识别的证书的状态值(根据RFC2560)。Ocsp命令执行很多OCSP的任务。它可以被用于打印请求文件和响应文件,常见请求文件和发送一个OCSP响应文件,它就像一个消息OCSP服务器。
OCSP介绍以及使用OpenSSL编程实现
lt4959的专栏
10-15 5850
首先我们知道在PKI体系中,证书的生命周期如下所示, 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢?为解决对CA证书有效性方面的查询,PKI引入了CRL(Certificate Revocation List)和OCSP(Online Certificate
Nginx 启用 OCSP Stapling的配置
09-30
4. 配置Nginx:在Nginx的配置文件中启用OCSP Stapling,这通常需要修改server块的相关配置项,如ssl_stapling、ssl_stapling_verify、ssl_trusted_certificate等。 5. 重启Nginx服务:对配置文件进行修改后,需要...
Openssl CA服务器搭建与管理指南
weixin_44524357的博客
02-11 1191
方式二:通过指定主题信息生成证书申请文件。方式一:交互式输入信息生成证书申请文件。方式一:不指定输出文件名进行签名。方式二:指定输出文件名进行签名。
Centos7 Nginx 使用 certbot 安装证书,并配置 OCSP 提高性能
myarche的博客
12-20 2033
官方安装教程:https://certbot.eff.org/lets-encrypt/centosrhel7-nginx 之前一直使用军哥的 Lnmp 或者宝塔,所以配置 https 都有内置命令。 这次独立的学习 Nginx ,所以在单独的学习配置 Https 证书。 由于服务器上面只安装有了 Nginx ,所以我们来安装 certbot yum -y install yum-uti...
OCSP是什么
nzyzy的博客
03-15 7025
OCSP的定义 OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。 OCSP与CRL比较: 1)与CRL相比OC
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
在线证书状态协议 (OCSP) 详解及其应用
weixin_37085861的博客
08-15 2328
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
OCSP 测试服务器
wuwenlong527的专栏
10-16 4709
 需要寻找一个OCSP测试服务器,今天找到一个,以下为简介:想请参照:http://www.openvalidation.org/useocspservicenew.htmHow to test client applications with OpenValidation.orgDevelopers can use the OpenValidation.org Responder Ser
OCSP
weixin_30275415的博客
04-27 727
一、简介 二、协议 三、其他 1)OCSP装订 https://zh.wikipedia.org/wiki/OCSP%E8%A3%85%E8%AE%A2 转载于:https://www.cnblogs.com/274914765qq/p/6777326.html
OCSP原理及实践
辛勤搬砖的门卫的专栏
09-06 2241
OCSP机制原理及实践验证
配置证书 OCSP 成功
记录点滴
10-11 553
参考资料: OpenSSL 通过OCSP手动验证证书 https://www.cnblogs.com/penghuster/p/6895714.html 免费SSL证书的OCSP问题 http://www.manongjc.com/detail/19-mhvsinmgxxhfnqa.html 从无法开启 OCSP Stapling 说起,OCSP是什么 https://blog.51cto.com/professor/1841618 ...
How to set up OCSP server
crystalyangbjut的博客
03-27 701
How to set up OCSP server using openssl
OpenSSL的部署与使用
weixin_37651557的博客
03-17 5628
数据加密 加密三要素: 明文/密文 明文 -> 原始数据 密文 -> 加密之后的数据 秘钥 定长的字符串 对称加密 ->自己生成 非对称加密 -> 有对应的算法可以直接生成 算法 加密算法 解密算法 常用加密方式 对称加密 秘钥比较短 秘钥只有一个 加密解密使用的秘钥是相同的 加密的效率高 加密强度相对较低( 相对于非对称加密 ) 秘钥分发困难 -> 因为秘钥要保密不能泄露 秘钥不能直接在网络环境中进行发送 非对称加密 秘钥比较长
rockyhttps服务器搭建
03-14
### 如何在 Rocky Linux 上配置和搭建 HTTPS 服务器 #### 准备工作 为了确保安全通信,在 Rocky Linux 上部署 HTTPS 服务器前需完成基本环境准备。这包括但不限于更新现有软件包至最新版本以及安装必要的依赖项。 ```bash sudo dnf update -y ``` #### 安装 Apache HTTP Server 和 OpenSSL Apache 是广泛使用的 Web 服务器之一,支持 SSL/TLS 协议来提供加密连接。OpenSSL 库用于处理这些协议中的加密操作。 ```bash sudo dnf install httpd mod_ssl openssl -y ``` 启动并启用 `httpd` 服务以便于开机自启: ```bash sudo systemctl start httpd sudo systemctl enable httpd ``` 确认防火墙已开放相应的端口(通常为443),以允许外部访问HTTPS流量[^3]。 ```bash sudo firewall-cmd --zone=public --add-service=https --permanent sudo firewall-cmd --reload ``` #### 获取 SSL 证书 有两种方式获取有效的 SSL 证书:一种是从受信任的第三方 CA 购买;另一种则是利用 Let's Encrypt 提供免费自动化的 ACME (Automatic Certificate Management Environment) 方案签发短期有效性的证书。 对于后者,可以借助 Certbot 工具简化流程: ```bash sudo dnf install certbot python3-certbot-apache -y sudo certbot --apache ``` 按照提示完成域名验证过程后即可获得一对公私钥文件及对应的中间CA链文件。 #### 配置虚拟主机 编辑 `/etc/httpd/conf.d/ssl.conf` 文件定义新的 VirtualHost 块指向上述生成好的密钥路径,并指定ServerName参数匹配实际站点地址。 ```apache <VirtualHost *:443> DocumentRoot "/var/www/html" ServerName example.com SSLEngine on SSLCertificateFile /path/to/cert.pem SSLCertificateKeyFile /path/to/key.pem </VirtualHost> ``` 重启HTTPD使更改生效: ```bash sudo systemctl restart httpd ``` 此时应该能够通过浏览器正常加载带有锁形图标的安全页面了! #### 测试与优化 建议定期检查日志记录排查潜在错误信息,同时考虑实施HSTS(HTTP Strict Transport Security),OCSP Stapling等功能进一步增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值