关键词:
一:创建私有CA
openssl的配置文件:/etc/pki/tls/openssl.cnf
根据此配置文件创建CA
dir:CA相关文件存放路径 /etc/pki/CA
certs:证书存放目录 /etc/pki/CA/certs
database:数据库文件 /etc/pki/CA/index.txt
new_certs_dir:新颁发证书存放路径 /etc/pki/CA/newcerts
certificate:自颁发证书 /etc/pki/CA/cacert.pem
serial:下一个证书的序列号 /etc/pki/CA/serial
private_key: 私钥 /etc/pki/CA/private/cakey.pem
crl_dir:证书吊销列表
crlnumber:下一个吊销证书的序列号
default_days 证书有效期
policy:策略
countryName = match 匹配
stateOrProvinceName =match 匹配
organizationName = match 匹配
客户端向服务端申请CA证书,此三项必须匹配
若策略由match更改为其他选项,则不用强制匹配
1:创建所需要的文件夹
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
2:生成CA秘钥
(umask 077; openssl genrsa –out /etc/pki/CA/private/cake.pem 2048)
生成秘钥,不带密码
成功生成文件cakey.pem文件
3:生成自签名证书
openssl req -new -x509 –key
/etc/pki/CA/private/cakey.pem -days 7300 -out
/etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
/etc/pki/CA/cacert.pem为自签名证书
查看自签名证书的相关信息:
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
在windows上查看自签名ca证书的相关信息
1)rz /etc/pki/CA/cacert.pem 导出文件至windows
2) 更改文件后缀为.cer
二:客户端申请证书
1:创建私钥
(umask 077; openssl genrsa –out /app/service.key 4096)
2:利用私钥生成ca证书请求文件
openssl rep –new –key /app/service.key -out /app/service.csr
三:颁发证书
openssl ca -in /etc/pki/CA/csr/service.key –out /etc/pki/CA/cert/service.crt
此时数据库更新了
下一个证书的编号
查看已经颁发的证书:
查看已颁发证书的详细信息:
cat /etc/pki/CA/certs/service.crt
四:在windows中查看CA颁发的证书
1)上传文件sz /etc/pki/CA/certs/service.crt
2)查看:无上级证书路径
3)安装根CA至安全信任列表
也就是安装CA生成的自签名证书
4)再次查看service证书
五:申请多个证书
1:无需重复生成秘钥,直接生成另外的申请文件即可
openssl req –new –key /app/service.key –out /app/service2.csr
2 :上传文件scp /app/service2.csr 192.168.80.166:/etc/pki/CA/csr
3: 颁发证书
openssl ca -in csr/service2.csr -out certs/service2.crt -days 7000
不成功,国家名不匹配
4更改ca策略,使其成功
vim /etc/pki/tls/openssl.cnf
1)把国家更改为可选的,其他两项没做更改,重新申请
openssl ca -in csr/service2.csr -out certs/service2.crt -days 7000
2)再去更改州及公司的匹配策略
重新创建 ok
六:/etc/pki/CA目录简要描述
其中:csr目录是自建的,方便存储CA申请文件
index.txt:也是自建的,格式也必须固定为index.txt
serial:文件也是自建的,文件名固定。其数值范围刚开始设
定,固定在00-99之间
index.txt.attr: 内存放的是subject的策略。
默认值为yes。subject内的内容是不可以全部都一致的,一致则不能颁发证书
cat index.txt.attr
unique_subject = yes
打开pem格式的文件使用命令
openssl x509 –in /etc/pki/CA/caert.pem –noout –text
七:证书的吊销
1:吊销
openssl ca –revoke /etc/pki/CA/newcerts/02.pem
2:指定第一个吊销证书的编号
手工创建吊销列表文件
echo 01 > /etc/pki/CA/crlnumber
3:更新吊销证书列表
更新:
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl内的pem文件
openssl crl -in /etc/pki/CA/crl/crl.pem –noout -text
本文转载于:CA搭建与证书申请
ca服务器的搭建和申请证书(代码片段)
目的:搭建一个CA服务器并给客户机授权认证准备:??1.一台linux操作系统(以centos7虚拟机为例)??2.准备一台客户机(centos6虚拟机)先上一张思维导图吧。步骤一.CA服务器创建。??1.CA服务器我们用centos7来建立,先申请该服务器的私... 查看详情
https搭建(自签名证书)(代码片段)
博客搬家:https搭建(自签名证书)上一篇博客探究了https(ssl)的原理,为了贯彻理论落实于实践的宗旨,本文将记录我搭建https的实操流程,使用Apache2+ubuntu+opensssl1.使用自签证书配置https一般来讲,正式的上线项目都需要购买域名... 查看详情
私有ca搭建(代码片段)
1、创建CA所需要的文件生成证书索引数据库文件touch/etc/pki/CA/index.txt指定第一个颁发证书的序列号1235echo01>/etc/pki/CA/serial查看证书内容[root@centos880CA]#opensslx509-inzhengshu-noout-text生成CA的私有密钥于/etc/pki/CA/privateopensslgenrsa-outpriv... 查看详情
ca的搭建与申请
引入 A和B使用非对称加密方法加密数据进行通讯,则双方均需要知道对方的公钥。若A得到一个声称为B的公钥后,不进行检查就用该公钥加密数据,然后传输,而该公钥实际上是黑客C的公钥,那么就只有黑客C的私钥才能... 查看详情
私有ca建立和证书申请(代码片段)
私有CA建立和证书申请CA在创建时有规定的格式,详细需要参考/etc/pki/tls/openssl.cnf此文件存放了CA相关的一些配置信息。以下为比较重要的2个相关配置:1.此段为CA的详细目录结构###################################################################... 查看详情
私有ca搭建(代码片段)
1、创建CA所需要的文件生成证书索引数据库文件touch/etc/pki/CA/index.txt指定第一个颁发证书的序列号1235echo01>/etc/pki/CA/serial查看证书内容[root@centos880CA]#opensslx509-inzhengshu-noout-text生成CA的私有密钥于/etc/pki/CA/privateopensslgenrsa-o 查看详情
使用openssl实现ca证书的搭建过程
什么是CACA,CatificateAuthority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关... 查看详情
阿里云云盾服务证书免费ca证书申请与配置
申请入口(首页导航产品-》安全-》CA证书服务-》立即购买) 免费版选择步骤一步一步来1.品牌选Symantec2.保护类型选择一个域名(免费版只能一个好像)3.证书类型选择免费型DVSSL选择完后点击立即购买,确认支... 查看详情
如何申请https证书,搭建https网站
...环境或者说明,然后拿到环境安装教程安装。4、当然在搭建之前,请确保HTTP网站可以访问。参考技术A想要搭建https网站,需要具备域名、空间、https证书等要素。https证书申请流程如下:第一步,生成并提交CSR(证书签署请求)... 查看详情
基础架构系列篇-使用nginx代理gatewaynacos与设置同时支持http(https)方式(代码片段)
...录1.准备域名,域名备案,开通80与443端口,域名解析2.申请CA证书(即CA颁布的SSL证书)3.配置nginx1.准备域名,域名备案,开通80与443端口,域名解析2.申请CA证书(即CA颁布的SSL证书)3.配 查看详情
如何申请https证书,搭建https网站
第一步、提交CSR文件首先需要生成SSL证书申请文件CSR(CertificateSigningRequest)。选择要申请的SSL证书,提交订单,并将制生成的CSR文件提一起交到所在的SSLCA颁发机构。第二步、提交订单到证书服务机构CA在收到SSL证书订单和证书请... 查看详情
如何申请https证书,搭建https网站
ssl证书申请的3个主要步骤1、制作CSR文件所谓CSR就是由申请人制作的CertificateSecureRequest证书请求文件。制作过程中,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可... 查看详情
云原生|kubernetes篇自建高可用k8s集群搭建(代码片段)
文末有惊喜文章目录自建高可用k8s集群搭建一、所有节点基础环境1、环境准备与内核升级2、安装Docker二、PKI三、证书工具准备1、下载证书工具2、ca根配置3、ca签名请求4、生成证书5、k8s集群是如何使用证书的四、etcd高可用搭建... 查看详情
k8s搭建之证书制作(代码片段)
证书kubernetes系统的各组件需要使用TLS证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl来生成CertificateAuthority(CA)和其它证书。生成的CA证书和秘钥文件如下:ca-key.pemca.pemkubernetes-key.pemkubernetes.pemkube-proxy.pemkube-proxy-key.pemadmi... 查看详情
ca与数字证书的自结
1.CACA(CertificateAuthority)是数字证书认证中心的简称,是指发放数字证书、管理数字证书、废除数字证书的权威机构。 2.数字证书 如果向CA申请数字证书的单位为A。则他申请的数字证书中含有的内容为: &nb... 查看详情
(13)opensslca(签署和自建ca)(代码片段)
用于签署证书请求、生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库。因为一般人无需管理crl,所以本文只介绍opensslca关于证书管理方面的功能。证书请求文件使用CA的私钥签署之后就是证书,签署之后将证书... 查看详情
证书服务器ca的搭建和管理
...书,要么向互联上的专业证书机构去申请证书,要么自己搭建 查看详情
opensslreq(生成证书请求和自建ca)(转)(代码片段)
伪命令req大致有3个功能:生成证书请求文件、验证证书请求文件和创建根CA。由于opensslreq命令选项较多,所以先各举几个例子,再集中给出opensslreq的选项说明。若已熟悉opensslreq和证书请求相关知识,可直接跳至后文查看opensslre... 查看详情