创建私有私有CA

建立私有CA:

在确定配置为CA的服务器上生成一个自签证书,并为CA提供所需要的目录及文件即可;

步骤:

(1) 生成私钥;

]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

注意:文件名要与配置文件中的文件名一致;

]# ll /etc/pki/CA/private/:查看文件权限确保为600;

(2) 生成自签证书;

]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

-new:生成新证书签署请求;

-x509:生成自签格式证书,专用于创建私有CA时;

-key:生成请求时用到的私有文件路径;

-out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;

-days:证书的有效时长,单位是day;

根据提示输入相关信息,完成即可;

提示输入:Country Name (2 letter code) [XX]:CN

提示输入:State or Province Name (full name) []:Beijing

提示输入:Locality Name (eg, city) [Default City]:Beijing

提示输入:Organization Name (eg, company) [Default Company Ltd]:MageEdu

提示输入:Organizational Unit Name (eg, section) []:Ops

提示输入:Common Name (eg, your name or your server‘s hostname) []:ca.magedu.com

如果是个人通信为自己的名字,如果是服务器为服务器主机名;

提示输入:Email Address []:[email protected]

]# ls /etc/pki/CA/

查看要有certs crl newcerts这3个目录,如果没有要自行创建;

(3) 为CA提供所需的目录及文件;

]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

]# touch /etc/pki/CA/{serial,index.txt}

]# echo 01 > /etc/pki/CA/serial

在用到证书的服务器上操作:

1.创建一个目录存放主机的私钥;

2.生成私钥;

3.生成证书签署请求

4.将.csr文件请求通过可靠方式发送给CA主机;

步骤:(以httpd为例)

(1) 用到证书的主机生成私钥;

]# mkdir /etc/httpd/ssl

]# cd /etc/httpd/ssl

]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)

(2) 生成证书签署请求

]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

根据提示输入相关信息,完成即可;

提示输入:Country Name (2 letter code) [XX]:CN

提示输入:State or Province Name (full name) []:Beijing

提示输入:Locality Name (eg, city) [Default City]:Beijing

提示输入:Organization Name (eg, company) [Default Company Ltd]:MageEdu

提示输入:Organizational Unit Name (eg, section) []:Ops

提示输入:Common Name (eg, your name or your server‘s hostname) []:www.magedu.com

此处一定要为客户端访问的地址;

提示输入:Email Address []:[email protected]

提示输入:A challenge password []:可为空

提示输入:An optional company name []:可为空

(3) 将请求通过可靠方式发送给CA主机;

]# ls:生成一个httpd.csr文件,把此文件用可靠方式发送给CA主机;

实际应用时,是CA公司来人到现场取走文件;

实验环境,就是以scp命令,可实现两主机间复制文件;

]# scp httpd.csr [email protected]:/tmp/

表示在本地复制httpd.csr文件,以远程主机172.18.250.131的root用户身份拷贝此文件到远程主机的/tmp/目录下

输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;

就是实现了把httpd.csr文件拷贝的CA主机上;

(4) 在CA主机上签署证书;

]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

显示提示:Sign the certificate? [y/n]:y

显示提示:1 out of 1 certificate requests certified, commit? [y/n]y

把签署的证书httpd.crt发送给服务器主机:

在实验环境,还用scp两主机直接拷贝文件httpd.crt即可;

]# scp certs/httpd.crt [email protected]:/etc/httpd/ssl/

输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;

此时在服务器主机上的httpd.csr就没用了,可以删了;

在CA主机上的签署前的httpd.csr也没用了,也可以删了;

以上创建私有CA完成;

可在服务器主机或客户端主机上(只要有证书),都可查看证书;

]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

时间: 2024-10-17 18:53:39

创建私有私有CA的相关文章

如何在云服务器创建maven私有仓库

参考链接:https://blog.csdn.net/silence_jjj/article/details/77531916 nexus3创建maven私有仓库(windows) 1.官网:https://www.sonatype.com/download-oss-sonatype 2.解压nexus3的zip包,找到\nexus-3.3.1-01\bin文件夹,shift+右键 -> 在此处打开命令窗口 3.在cmd中输入 nexus.exe/run ,然后回车 4.等待几分钟后,控制台出现

使用OpenSSL创建自己的CA root certificate

在密码学中,CA(Certificate Authority,认证机构)是指一个被多个用户信任的机构,该机构能够创建和指派公钥证书. 为规范起见,我们先介绍本文可能涉及的术语, asymmetric cryptography: 非对称密码学(或公开密钥加密,公钥加密),密钥涉及公钥和私钥组成的密钥对: key pair: 密钥对,非对称密码学中的一对公/私密钥: private key: 私钥,只应该有所有者才知道的那个密钥: public key: 公钥(公开密钥),在非对称加密体系中公开给其

加密解密技术基础、PKI及创建私有私有CA

Linux基础中的加密.解密及openssl 数据为什么要加密?      由于互联网刚开始时使用的人非常少,在互联网中交流信息的人都比较"单纯"几乎没有安全问题:但随着互联网的快速发展,整个互联网中涌入了大量的用户,正所谓林子大了什么鸟都有,随之而来的就是数据的安全性得不到保障:因此就有了对数据的加密及解密. 安全的目标       信息加密的目的是为了确保所传输的信息具有保密性,不被其他人所劫持后篡改信息:如果被篡改后接收方也应该能知道,而且也应该确保没被劫持的信息接收方可以读取.

<转>亲手缔造DNS体系,创建DNS私有根:DNS系列之六

打造DNS私有根 我们现在已经从前面的博文中了解到了很多DNS的相关知识,今天我们用一个综合性的实验把前面的内容都串起来复习一下,这个有趣的实验就是DNS的私有根.私有根顾名思义是由个人或企业自行创建的DNS根服务器,这个根服务器属于创建者私有专用,不能象互联网上的根服务器那样为众多的网民服务.那么为什么会有企业搭建私有根呢?直接用互联网上的根服务器不是很好吗?需要搭建私有根一般有下列原因,例如有的单位如警察或军事部门出于保密需要,必须把单位的网络和互联网物理隔离,但又不愿使用IP地址来互相访问

使用Nexus创建Maven私有仓库

1.为什么需要maven私有仓库? 从Maven中央仓库下载所需的jar包,需要外网的支持.如果公司不能上外网的话则不能从中央仓库下载所需jar包,公司网速慢的时候也会影响项目构建的速度.用户可以用nexus创建私有的maven仓库. 2.下载和部署Nexus 首先下载nexus,下载地址是http://www.sonatype.org/nexus/go 在此页面可以下载最新版本的Nexus,可以下载zip包也可以下载war包.需要注意的是两种包的部署方式不一样. zip包部署方式 a.把zip

Docker 镜像创建、私有仓库搭建和数据管理

Docker 镜像的创建方法 Docker 镜像除了是 Docker 的核心技术之外也是应用发布的标准格式.一个完整的 Docker 镜像可以支撑一个 Docker 容器的运行,在 Docker 的整个使用过程中,进入一个已经定型的容器之后,就可以在容器中进行操作,最常见的操作就是在容器中安装应用服务,如果把已经安装的服务进行迁移,就需要把环境以及搭建的服务生成新的镜像. 创建镜像的三种方法 : 基于已有的镜像创建 基于本地模板创建 基于 Dockerfile 创建 (推荐) 基于已有的镜像创建

跟我一起创建bitbucket私有库

//github上面的私有库需要花钱买, Bitbucket免费账户可以创建私有仓库,如果想存一些个人的私有代码,不妨使用Bitbucket试试. 它的使用步骤如下: 第一步:下载git https://git-scm.com/ 第二步:打开Bitbucket官网 https://bitbucket.org/ 注册输入即可 第三步:创建代码仓库 第四步:上传代码.新建文件夹,作为代码的本地仓库,根据要求gitclone add commit push即可. 第五步:下载sourceTree.ht

Kubernetes 创建harbor私有镜像库

一.部署准备: 1.准备 harbor 软件包 在部署节点上: 2.挂载一个磁盘.专门存储 harbor 镜像和文件 3.进入到 /etc/docker/harbor/目录,修改如下配置 找到如下参数,并修改如下配置: hostname = reg.yunwei.edu ui_url_protocol = https ssl_cert = /data/harbor/cert/harbor.crt ssl_cert_key = /data/harbor/cert/harbor.key secret

K8s之Pod资源管理及创建Harbor私有镜像仓库(含镜像拉取操作,中途含排错)

pod是k8s管理的最小单元 pod中有多个容器,现实生产环境中只有一个容器 特点: 1.最小部署单元2.一组容器的集合3.一个Pod中的容器共享网络命令空间4.Pod是短暂的 Pod容器分类: 1:infrastructure container 基础容器(透明的过程,用户无感知) 维护整个Pod网络空间 node节点操作 `查看容器的网络` [[email protected] ~]# cat /opt/kubernetes/cfg/kubelet KUBELET_OPTS="--logto