通過openssl建立CA

原創 xiaobing002 2019-07-19 13:02

1 CA簡介

  CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。比如Alice和Bob通信,中間通信萬一被***C監聽到,冒充Alice和Bob,這樣信息就會泄密,這時候通過CA來驗證雙方身份的真實性。證書內容包括1,證書的持有者的相關信息2,CA的相關信息3,證書的使用方法4,公鑰信息PKI—public key instruction 公鑰基礎設施:核心是CA

2 CA建立的步驟

1 ),openssl 建立私有CA,其中包括生成祕鑰;自簽證書

2),節點需要:生成祕鑰對;生成證書籤署請求;把請求發送給CA

3),CA:驗證請求者的信息;簽署證書;簽好的證書發送給請求者。

3,實驗步驟

1,建立CA服務器,生成祕鑰,文件必須是400或者是600權限

[root@localhost private]# (umask 077; openssl genrsa -out /etc/pki/CA/private/ccc.pem 2048)

Generating RSA private key, 2048 bit long modulus

................................................................................................+++

.........+++

e is 65537 (0x10001)

[root@localhost private]# ls

cakey.pem  ccc.pem

這裏必須是 在/etc/pki/CA/private目錄下,之前已經生成cakey.pem文件,此次用ccc.pem文件。


2 req:生成證書籤署請求

   -x509 生成簽署證書

   -day X 有效X天 

   -new   心情求

   -key   /path/to/keyfile:制定私鑰文件

   -out   /path/to/somefile 指定加密後要保存的文件名

自簽證書

[root@localhost private]# openssl req -new -x509 -key /etc/pki/CA/private/ccc.pem -out /etc/pki/CA/cace.pem -days 30

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:HA

Locality Name (eg, city) [Default City]:ZZ

Organization Name (eg, company) [Default Company Ltd]:ZZC

Organizational Unit Name (eg, section) []:SI     

Common Name (eg, your name or your server's hostname) []:localhost.localdomain

Email Address []:cc.ccc.com

[root@localhost private]# ls

cakey.pem  ccc.pem

3,我們要初始化環境

[root@localhost private]# touch /etc/pki/CA/{index1.txt,serial1}

[root@localhost private]# echo 01 > /etc/pki/CA/serial1

   

4,節點申請證書

1)生成密鑰對

[root@stu31 ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/htt.key 2048)

Generating RSA private key, 2048 bit long modulus

...................+++

.............+++

e is 65537 (0x10001)

這時是在另外一臺主機上建立生成的密鑰對

2)生成證書籤署請求

[root@stu31 ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/htt.key 2048)

Generating RSA private key, 2048 bit long modulus

...................+++

.............+++

e is 65537 (0x10001)

[root@stu31 ssl]# openssl  req -new -key /etc/httpd/ssl/htt.key  -out /etc/httpd/ssl/htt.csr

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:HA

Locality Name (eg, city) [Default City]:ZZ

Organization Name (eg, company) [Default Company Ltd]:ZZX

Organizational Unit Name (eg, section) []:localhost.localdomain

Common Name (eg, your name or your server's hostname) []:cc.ccc.com

Email Address []:


Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:


3)把簽署請求發送給CA服務器

[root@stu31 ssl]# scp htt.csr 172.16.249.55:/etc/pki/CA/csr/

[email protected]'s password: 

htt.csr                                                          100% 1009     1.0KB/s   00:00


5 CA簽署證書

[root@localhost CA]# openssl ca -in csr/htt.csr -out csr/htt.crt -days 30

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

The stateOrProvinceName field needed to be the same in the

CA certificate (Henan) and the request (HA)  二者不一致的話,是不簽署的,所以要在從新生成一個openssl  req -new -key /etc/httpd/ssl/htt.key  -out /etc/httpd/ssl/htt.csr 


[root@localhost CA]# openssl ca -in csr/htt.csr -out csr/htt.crt -days 30

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number: 2 (0x2)

        Validity

            Not Before: Aug  1 05:37:57 2014 GMT

            Not After : Aug 31 05:37:57 2014 GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = Henan

            organizationName          = MageEdu

            organizationalUnitName    = Ops

            commonName                = localhost.localdomain

        X509v3 extensions:

            X509v3 Basic Constraints: 

                CA:FALSE

            Netscape Comment: 

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier: 

                90:AB:55:BA:57:63:2E:06:93:FD:EA:50:4B:9E:5B:40:C1:56:43:6E

            X509v3 Authority Key Identifier: 

                keyid:59:50:01:C7:01:0A:49:70:21:71:AE:A4:26:94:25:78:1A:EA:35:14


Certificate is to be certified until Aug 31 05:37:57 2014 GMT (30 days)

Sign the certificate? [y/n]:


3 發送給請求者

[root@localhost CA]# scp csr/htt.crt 172.16.31.1:/root

[email protected]'s password: 

htt.crt                                                          100% 4556     4.5KB/s   00:00  


[root@stu31 ~]# mv htt.crt  /etc/httpd/ssl  驗證機在吧證書放到這個/etc/httpd/ssl目錄下



一次CA簽證結束,祝您成功~~~


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

php7.4編譯

 wget https://www.php.net/distributions/php-7.4.33.tar.gz  ./configure --prefix=/usr/local/php7.4 --with-openssl --with-

charley158 2024-04-28 23:51:42

CentOS升級openssh和openssl

####掛載系統鏡像文件ISO##### mount -o loop xxxx.iso /mnt/ cd /etc/yum.repos.d/ mkdir backup mv Cen* backup/ cd backup mv Cen*Me*

原創 2023-11-17 12:58:16

如何在WordPress帖子編輯器中使用圖標字體(無代碼)

您想在WordPress帖子編輯器中使用圖標字體嗎?圖標字體允許您輕鬆地在文本中使用圖像和符號。它們是輕量級的,不會減慢您的網站速度,並且可以輕鬆地縮放到任何大小,並像任何其他文本字體一樣設置樣式。在本文中,我們將向您展示如何在WordPr

原創 2023-09-12 01:40:36

安卓系統7+fiddler抓包之證書安裝步驟

---根據fiddler證書導出後生產安卓系統證書步驟 openssl x509 -inform der -in FiddlerRoot.cer -out FiddlerRoot.pem openssl x509 -inform PEM -

原創 2023-08-17 00:07:38

App防抓包的四種繞過方法(詳細)asdfsdfasdbncvbnfasdfasdf

App防抓包的四種繞過方法 簡介: 1、ssl證書校驗(https證書校驗=http請求+ssl證書校驗) 方法 演示:安卓5.0怎麼安裝證書 演示:安卓7及以上怎麼把證書安卓到系統目錄(安卓系統證書解決) 2、代理屏蔽

xiaomin0322 2023-08-17 00:07:27

feign實現僅信任受信任的證書配置

要在Feign中配置僅信任受信任的證書,需要採用一種更安全的方式,即使用自定義的SSLContext,並將自定義的SSLContext與受信任的證書進行關聯。下面是一個示例代碼,展示瞭如何配置僅信任受信任的證書: import org.

原創 2023-07-30 01:58:07

阿里雲存儲多圖

一.配置阿里雲註冊信息常量OSSClientConstants public class OSSClientConstants {       //阿里雲API的外網域名     public static final String END

原創 2023-07-22 01:39:55

基於 Hologres 向量計算與大模型免費定製專屬聊天機器人

簡介:本文爲您介紹如何基於Hologres向量計算能力,結合大模型的閱讀理解和信息整合能力,對該垂直行業的問題提供更貼切的回答,即費、快速定製專屬聊天機器人。 背景信息 大模型可以廣泛應用於各行各業。使用大模型定製聊天機器人,除了訓練大模

原創 2023-07-19 00:32:51

rails openssl 使用sm4加密

def show p 1111111111 p des_decrypt('akQPbsRjMTNSnK99', '0BKloNjr1mboitKEP5FmNA==\n') p 1111111111 end # 加

原創 2023-07-14 12:32:54

虛擬雲網絡系列 | Antrea 應用於 VMware 方案功能簡介(十)

接續前篇討論 Antrea 與 NSX Manager 整合的手動安裝第一個流程,接下來要繼續後面的步驟。整個流程圖如下: 本篇內要由流程二:建立自籤安全憑證開始。也同樣提醒大家,相關的步驟於官方文件: “Registering an

原創 2023-06-26 22:39:04

阿里雲峯會發布《Well-Architected雲卓越架構白皮書》:助力企業用好雲管好雲

6月1日,2023阿里雲峯會·粵港澳大灣區在廣州舉行,阿里雲智能開放平臺總經理圭多在會上發表了「構建安全、高效、穩定的卓越架構」的議題演講,並正式發佈《阿里雲卓越架構白皮書》,爲企業用雲管雲解決方案和產品化落地提供指引,助力企業構建更加安全

原創 2023-06-10 00:25:46

獨立站建站教程:選用WordPress搭建獨立站的幾個重要原因

本文介紹了選擇WordPress搭建獨立站的四個重要原因,包括其可擴展性和穩定性、安全保障、高度的可定製化以及免費開源的特點。WordPress成爲流行的獨立站搭建平臺的原因在於它能適應不同規模的網站需求,並提供了方便、安全和免費的建站解決

六翼開源 2023-06-05 13:31:06

windows下搭建PHP環境

1.安裝 1)下載安裝VC運行庫 下載地址:https://docs.microsoft.com/zh-cn/cpp/windows/latest-supported-vc-redist?view=msvc-170 2)下載安裝PHP

原創 2023-06-02 23:02:13

【自己更換模型】如何用 Serverless 一鍵部署 Stable Diffusion?

作者:寒斜 上一篇講了如何使用 Serverless Devs 和函數計算快速體驗部署 Stable Diffusion,本篇繼續聊聊如何解決動態模型加載的問題,從玩起來到用起來。 思路 其實很簡單, 我們只需要將鏡像裏面的動態路徑映射到

原創 2023-05-09 21:13:01

更高水準的供應鏈安全實踐:Alibaba Dragonwell 及其 SLSA 2 級認證

01 前言 計算機科學史上湧了 C/C++、Java、JavaScript、Ruby、Python、Perl 等多種編程語言。每一種語言都有其擅長的領域,其中Java語言憑藉其面向對象、自動內存管理、多線程性能優越等優勢持續處於浪潮之巔。

原創 2023-04-26 13:07:36