CA认证和颁发吊销证书

摘要:涉及到网络安全这一块,想必大家都听过CA吧。像百度、淘宝、京东等这些知名网站,每年都要花费一笔money来买CA证书。但其实简单的企业内的CA认证,我们自己就可以实现,今天小编我就讲解一下怎么在企业局部实现CA认证。

一、CA介绍

1、电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中钥的合法性检验的责任。

2、PKI: Public Key Infrastructure

  签证机构:CA (Certificate Authority)

  注册机构:RA

  证书吊销列表:CRL

3、获取证书两种方法:

• 使用证书授权机构

  生成签名请求(csr)

  将csr 发送给CA

  从CA 处接收签名

• 自签名的证书

  自已签发自己

4、实例:打开百度,按F12,可以查看百度的CA证书

二、创建私有CA和申请证书及简单步骤说明

1、原理介绍:

我们以A端为CA机构,B端是申请证书的公司

2、A端自签证书,自签证书之前我们要,了解查看配置文件的说明 vim /etc/pki/tls/openssl.cnf,会告诉我们怎么自签证书,要求我们创建的东西放在哪些目录下。

[ CA_default ]

dir                 = /etc/pki/CA     # Where everything is kept   总目录,把总目录付给变量,下边都用变量表示

certs             = $dir/certs        # Where the issued certs are kept  发布的证书,若干证书

crl_dir              = $dir/crl         # Where the issued crl are kept      证书吊销列表

database           = $dir/index.txt        # database index file.             文本文件,数据库,存放证书编号,简单的索引

#unique_subject  = no           # Set to ‘no‘ to allow creation of    是否允许多个证书用相同的subject(颁发给谁)

              # several ctificates with same subject.

new_certs_dir   = $dir/newcerts    # default place for new certs.  新颁发的证书放的地方

certificate       = $dir/cacert.pem     # The CA certificate   证书文件,第一个是自签名证书

serial        = $dir/serial       # The current serial number   下一个要颁发证书的编号

crlnumber      = $dir/crlnumber         # the current crl number   吊销列表的编号

              # must be commented out to leave a V1 CRL

crl                  = $dir/crl.pem        # The current CRL          吊销列表存放的文件

private_key         = $dir/private/cakey.pem # The private key   私钥放的地方

RANDFILE         = $dir/private/.rand     # private random number file   随机数

3、申请证书时,要填写的必要信息

[ policy_match ]   注意:match必须匹配,客户端申请证书和CA颁发填写的信息必须相同

countryName         = match国家

stateOrProvinceName  = match省、州

organizationName     = match组织、公司名

organizationalUnitName = optional 部门

commonName      = supplied 给哪个域名颁发

emailAddress       = optional[ policy_anything ] 邮件地址

3、B端证书申请及签署步骤:

① 生成申请请求

② RA 核验

③ CA 签署

④ 获取证书

三、A端创建私有CA

1、创建所需要的文件(如果不创建,后边操作会出错)

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

echo 99 > /etc/pki/CA/serial 指定第一个颁发证书的序列号,一般都是从01开始,也可以不从01开始,但一定要是2位或4位数,我们就以99为例

2、CA 自签证书

生成私钥

cd /etc/pki/CA/

(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem [-des3] 2048)

可以加密,也可以不加密,加过密,后边每次都要输入,为了试验方便就不加密了,但加密更安全

tree /etc/pki/CA/ 可以看到cakey.pem 生成了

生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem (req申请、-x509自签名、cacert.pem)

  req:请求申请证书

  -new: 生成新证书签署请求

  -x509: 专用于CA 生成自签证书

  -key: 生成请求时用到的私钥文件

  -days n :证书的有效期限

  -out / PATH/TO/SOMECERTFILE : 生成私钥证书的保存路径

③ 查看

cat /etc/pki/CA/cacert.pem 生成的证书文件,直接cat不能看到信息,用下边的命令

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text   (-text:生成的证书)

④ 也可以传到windows上查看,要改后缀,可以为cer/crt,不然不识别,sz发到windows上

四、B客户端申请证书

1、centos 6 生成私钥

(umask 066;openssl genrsa -out /app/service.key 2048)

2、利用私钥生成证书请求文件, 在需要使用证书的主机生成证书请求

openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr

3、将证书请求文件传输给CA

scp /app/service.csr 192.168.30.107:/etc/pki/CA

五、A端,签署证书

1、为了方便管理,创建一个专门放请求的目录,把请求都放在这个目录下,不是必须的

mkdir csr

mv service.csr csr/

2、CA 签署证书,并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 100

注意:默认国家,省,公司名称三项必须和CA一致

签署后:会生成更新一些文件

3、查看证书中的信息:

openssl x509 -in /etc/pki/CA/certs/service.crt -noout -text

openssl ca -status 99 查看指定编号的证书状态

也可以传到windows上查看,看到更清楚,sz发到windows上

六、吊销证书

1、在客户端(A端)获取要吊销的证书的serial(编号)

openssl x509 -in / PATH/FROM/CERT_FILE -noout -serial -subject

2、在CA(B端) 上,根据客户提交的serial 与subject 信息,对比检验是否与index.txt 文件中的信息一致,确认就吊销证书:

openssl ca -revoke newcerts/99.pem

3、指定第一个吊销证书的编号

注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber

4、更新证书吊销列表,将来将吊销的列表放到互联网上,让大家知道

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

5、查看crl 吊销文件:

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

也可以在windows上查看,sz发到windows上,后缀改为.crl

好了,有关CA证书的东西就这些了。

时间: 2024-10-17 09:31:50

CA认证和颁发吊销证书的相关文章

linux的数据加密和CA认证

一.加密协议和算法 1.对称加密算法:加密和解密使用同一秘钥 主流私钥加密算法: DES:数据加密标准 64bit块,加密密钥的长度56bit NSA 3DES,三次DES加密 AES:高级加密标准 加密密钥的长度更长:128bit,192bit,256bit Blowfish Twofish IDEA RC4,RC6 CASTS 特性: 1.每对通信主机都需要保有一个唯一的通信密钥,用于加密和解密数据 2.将原始的数据分割成固定大小的块逐个加密 3.加密和解密的速度非常快 缺陷:在一台主机上需

linux学习之路之创建私钥CA及使用CA为客户端颁发证书

创建CA(Certificate Authority) CA的储存格式主要有2种:x509和pkcs12 x509是目前最主流的CA储存格式,在x509格式的证书中,储存的内容主要有: 证书的公钥和使用期限 证书的合法拥有着 证书该如何被使用 CA的信息 CA签名的校验码 默认情况下,TCP/IP模型和OSI模型,并没有实现数据的加密,而要实现数据的加密需要使用TLS/SSL协议,TLS和SSL在有些Linux版本上实现的机制是相同的,因此在这里我们之介绍SSL协议 SSL(Secure Soc

CA认证和证书

获取证书的两种方法: 使用证书授权机构 生成签名请求(csr) 将csr发送给CA 从CA处接收签名 自签名证书 自己签发自己的公钥 自建CA颁发机构和自签名 实验用两台机器,一台做CA颁发证书,一台做客户端身申请证书 证书申请以及签署的步骤: 1.生成申请请求 2.CA核验 3.CA签署 4.获取证书 在实验开始之前,我们先来看一下openssl的配置文件:/etc/pki/tls/openssl.cnf 1.   [ ca ] 2.   default_ca   = CA_default  

数字签名,数字证书,CA认证等概念理解

本文将介绍数字签名,数字证书以及CA相关知识. 加密相关知识可见我的上一篇博文:http://watchmen.blog.51cto.com/6091957/1923426 本文参考文献引用链接: 1.https://www.zhihu.com/question/25912483 2.https://blog.jorisvisscher.com/2015/07/22/create-a-simple-https-server-with-openssl-s_server/ 3.https://zh.

实验:建立私有CA,并实现颁发证书(20190123 下午第一节)

证书的申请过程:centos6是需要证书服务的主机 centos7为服务器1.建立CA1.[[email protected] ~]# tree /etc/pki/CA/etc/pki/CA├── certs├── crl├── newcerts├── private[[email protected] ~]# cd /etc/pki/CA[[email protected] CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048 )

探究公钥、私钥、对称加密、非对称加密、hash加密、数字签名、数字证书、CA认证、https它们究竟是什么,它们分别解决了通信过程的哪些问题。

一.准备 1. 角色:小白.美美.小黑. 2. 剧情:小白和美美在谈恋爱:小黑对美美求而不得.心生怨念,所以从中作梗. 3. 需求:小白要与美美需通过网络进行通信,联络感情,所以必须保证通信的安全性. 二.由通信过程中可能出现的问题来引出公钥.私钥.对称加密.非对称加密.hash加密.数字签名.数字证书.CA认证.https的相关知识 1. 场景1: 小白和美美在 http 协议下进行通信. 1.1 能否完成通信:能. 1.2 还可能出现其他问题:容易受到网络中间人攻击:在http协议下进行通信

加密,认证疑难名词总结----RSA, 公钥,私钥,CA,数字签名,数字证书

在网络和操作系统安全通信中经常涉及到这几个名词: RSA, 公钥,私钥,CA,数字签名,数字证书.我找了很多资料,很少有把疑难点讲全面的.但不讲清楚这几个,很难有一个清晰的认识和理解.我现在也尝试这样的方式,自己总结,以便后来查看,同时也希望能帮助一些人少走弯路,省去baidu, google, 看RFC的时间. 对称和非对称,公钥和私钥:加密的两种方式:对称加密和非对称加密.对称加密:加密的密钥也叫公钥和解密的密钥(也叫私钥)相同.特点是算法公开.计算量小.加密速度快.加密效率高.非对称加密:

RTX5的汽车级,工业级,医疗和铁路安全认证已经通过,证书已颁发

说明: 1.当前RTX5的教程已经在制作中,使用CMSIS-RTOS V2封装层,含FreeRTOS,配套V7,V6和V5板子?. 2.我们各种开发板和模块的资料汇总贴,搞了个cnblogs,临时先用着?,会实时更新的: https://www.cnblogs.com/armfly/p/11270280.html? . 1.RTX4和RTX5都已经是开源免费的,Apache2.0授权,随意商用,不需要付费. 因为他俩已经不属于MDK的一部分了,是随着CMSIS软件包一起发布的?.所以用户无需购买

CA认证的具体实验步骤

博文目录 CA认证的配置文件是/etc/pki/tls/opensl.cnf 服务器的操作 1.进入/etc/pki/CA下 创建 index.txt,serial,crlnumber这三个文件 并为为创建记录证书文件和吊销证书文件给予编号 [[email protected] ~]# cd /etc/pki/CA [[email protected] CA]# touch index.txt [[email protected] CA]# touch serial [[email protec