关键词:
建立私有CA
CA:Cerieificate Authority证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。
由于向国际根CA注册证书是要钱的,所以通常在公司内部我们需要用到证书进行安全通信时,可以自己搭建一个公司内部的CA,来满足公司内网的安全传输需求。
现在我们就来建立一个私有CA,并申请证书。
openssl的配置文件:/etc/pki/tls/openssl.cnf
三种策略:匹配、支持和可选
匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无
1、创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
如果没有创建文件的话后面会报错,那时创建文件也没关系。
2、 CA自签证书
生成私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem –des3 2048)
在生成私钥时最好加上密码 -des3 虽然使用起来每次都要输入密码,但是更安全。
这样私钥文件就生成好了。
接下来生成自签名证书
openssl req -new -x509 –key private/cakey.pem -days 3650 -out
/etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
接下来就是输入CA信息
我们可以把生成的文件传到实体机桌面上,将后缀改为.cer查看
使用sz命令 将文件传输到实体机桌面
这样自签名证书就生成好了,接下来就是申请证书和签证了,首先在需要使用证书的机器生成证书请求。
给web服务器生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key –des3 2048) 同样我们给私钥加上密码
这样需要使用证书的机器的私钥就生成好了,接下来生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key -days 3650 -out etc/pki/tls/test.csr
又到了输入信息的时候了,但是这次要注意了,默认国家,省,公司名称三项必须和CA一致!最后两行信息就可以不写了。
这样证书申请文件就生成好了,接下来就是申请证书了,将证书文件传输给CA。
接下来就是签发证书了
CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 3650
这样证书就签好了。接下来查看证书中的信息:
把证书文件导出虚拟机,并加上后缀 .cer
openssl x509 -in /PATH/FROM/CERT_FILE -noout
-text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态
这样私有CA就建立完成并且可以签发证书了。
利用openssl建立私有ca
本次利用openssl建立私有CA,实现https加密通信.openssl由三部分组成:libencrypto库libssl库openssl多用途命令行工具加密算法和协议: 对称加密算法和协议: 公钥体系:分为公钥和私钥 DES: DataEncryptionStandard(IBM研发) 3DES:... 查看详情
私有ca建立和证书申请(代码片段)
私有CA建立和证书申请CA在创建时有规定的格式,详细需要参考/etc/pki/tls/openssl.cnf此文件存放了CA相关的一些配置信息。以下为比较重要的2个相关配置:1.此段为CA的详细目录结构###################################################################... 查看详情
基于httpd建立私有ca实现https加密连接
有关于https是什么,点击连接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin一、准备工作 在开始实验之前,我们要准备至少两台主机还有自身的计算机,一台作为服务器,另外一台作... 查看详情
实验:建立私有ca,并实现颁发证书(20190123下午第一节)
...申请过程:centos6是需要证书服务的主机centos7为服务器1、建立CA1、[[email protected]~]#tree/etc/pki/CA/etc/pki/CA├──certs├──crl├──newcerts├──private[[email protected]~]#cd/etc/pki/CA[[email protected]CA]#(umask077;opensslgenrsa-outprivate/c... 查看详情
构建私有的ca(代码片段)
构建私有的CA机构1、CA介绍CA(CertificateAuthority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书... 查看详情
构建私有ca
构建私有CA:1.生成私钥:[[email protected]~]#(umask077;opensslgenrsa-out/etc/pki/CA/private/cakey.pem4096)2.生成自签证书: [[email protected]~]#opensslreq-new-x509-key/etc/pki/CA/private/cakey.pem-out/e 查看详情
私有ca搭建(代码片段)
1、创建CA所需要的文件生成证书索引数据库文件touch/etc/pki/CA/index.txt指定第一个颁发证书的序列号1235echo01>/etc/pki/CA/serial查看证书内容[root@centos880CA]#opensslx509-inzhengshu-noout-text生成CA的私有密钥于/etc/pki/CA/privateopensslgenrsa-o 查看详情
创建私有ca过程
openssl命令:配置文件:/etc/pki/tls/openssl.cnf构建私有CA:在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可步骤:(1)生成私钥;[[email protected]~]#(umask077;opensslgenrsa-out/etc/pki/CA/private/cakey.pem4096)(2)生... 查看详情
配置私有ca
配置私有CACA配置信息/etc/pki/tls/openssl.cnf1,创建所需要的文件Touch/etc/pki/CA/index.txt存放证书数据库文件,需要手工创建Echo01>/etc/pki/CA/serial指定16位进制的证书标号2.centos7上搭建CA先生成私钥(umask066;opensslgenrsa-outprivate/cakey.pem-des204... 查看详情
创建私有ca并签发证书
一、创建私有CA 1、创建所需要的文件 2、创建私有密钥 3、CA自签证书 -new:生成新证书签署请求; -x509:专用于CA生成自签证书;不自签的时候不要加该选项 &... 查看详情
openssl创建私有ca
创建私有CA: openssl的配置文件:/etc/pki/tls/openssl.cnf 1.创建所需要的文件 #touchindex.txt #echo01>serial # 2.给CA发证<CA自签证书 查看详情
创建私有ca
1、创建私有CA的步骤演示(1)先生成私钥文件/etc/pki/CA/private/cakey.pem(2)生成自签证书,并指明私钥文件,证书保存路径,有效期限等(3)为CA提供所需的目录和文件2.给节点颁发证书步骤演示假设node1为一个web服务器,要向客... 查看详情
创建私有ca并发放证书
公司内部证书发放流程1、自建私有CA主机1openssl的配置文件:/etc/pki/tls/openssl.cnf1)创建所需要的文件:cd/etc/pki/CA/ touchindex.txtecho01>serial[[email protected] CA]# tree.├── cacert.pem├── certs├──& 查看详情
openssl(私有ca)(代码片段)
...二、OpenSSL相关文件1.配置文件2.相关选项二、OpenSSL:创建私有证书签发机构CA步骤在确定配置为CA的服务器主机上生成一个自签证书,并为CA提供所需要的目录及文件;在真正的通信过程中CA服务器主机不需要网络参与,只需要参... 查看详情
私有ca的创建和证书的申请
创建CA和申请证书1、创建私有CA和所需要的文件openssl的配置文件:/etc/pki/tls/openssl.cnftouch/etc/pki/CA/index.txt生成证书索引数据库文件echo01>/etc/pki/CA/serial指定第一个颁发证书的序列号2、CA自签证书(1)生成私钥cd/etc/pki/CA/(umask066;op... 查看详情
配置私有ca
配置私有CACA配置信息/etc/pki/tls/openssl.cnf1, 创建所需要的文件Touch/etc/pki/CA/index.txt 存放证书数据库文 查看详情
构建私有ca
构建私有CA我们采用openssl这个软件来实现所以首先我们来看下该软件的配置文件实现环境centos7.2[[email protected] ~]# rpm -qc openssl //可以看到该命令没有任何输出,我们可以思考该软件包还存在其他的支包[[e... 查看详情
私有ca和证书
证书类型证书授权机构的证书服务器用户证书获取证书两种方法使用证书授权机构:生成签名请求(csr)将csr发送给CA从CA处接收签名自签名的证书:自已签发自己的公钥openSSL工具可以满足我们创建CA和证书1)PKI:PublicKeyInfrastructu... 查看详情