CA自建和证书申请

CA简介:CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。

证书简介:现在我们通过浏览器访问网站,一般都有证书的,这些证书就是有CA颁发的,证明你这个网站是可靠的,尤其是一些购物网站,如:淘宝,京东,我们可以查看网站的源码来查看他的证书(F12)找到Security查看。

LINUX模拟CA的建立和证书的申请

如何实现:

我们模拟把主机A当做根CA自建一个,主机B通过Openssl命令来模拟申请证书。

openssl配置文件:

/etc/pki/tls/openssl.cnf 我们找到CA和policy_match部分了解CA相关文件的存放和证书存放的文件。

dir= /etc/pki/CA CA相关文件的主目录

certs= $dir/certs 存放发布证书的文件

crl_dir= $dir/crl     证书吊销列表

database= $dir/index.txt 证书编号[默认不存在,要手动创建,不然会报错]

new_certs_dir= $dir/newcerts 新颁发证书存放目录

certificate= $dir/cacert.pem   CA服务端的自签名证书

serial= $dir/serial  下一个将要颁发证书的序列号 [默认不存在,要手动创建,不然会报错]

crlnumber= $dir/crlnumber 吊销证书的编号

crl= $dir/crl.pem  吊销证书存放的文件

private_key= $dir/private/cakey.pem证书的私钥存放文件

policy= policy_match

# For the CA policy

[ policy_match ]

countryName= match       国家

stateOrProvinceName= match   省市

organizationName= match       公司名称

organizationalUnitName= optional   公司单元名 可以不填 随便怎么翻译吧= =

commonName= supplied   名字

emailAddress= optional    邮箱

其中match表示自建根CA和申请证书时所填信息必须一致,optional可写可不写,supplied要写可以不一样。

主机A的配置

建立文件:

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

生成私钥文件

命令:(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048)

括号里定义umask进入子进程,只修改私钥文件的权限 -des3是对私钥文件进行加密  [文件名是特定的,不能更改]

生成一个自签名CA证书

openssl req -new -x509 –key/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem      [文件名是特定的,不能更改]

-new: 生成新证书签署请求

-x509: 专用于CA生成自签证书

-key: 生成请求时用到的私钥文件

-days n:证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存

自签名CA填写信息如上图,根据policy可知其中前124选项为match必须匹配,第5选项为supplied,为颁发者的名字,其他可以不填。

这样我们的自签名CA的相关文件就准备好了。

主机B的配置:

生成自己的私钥:还是一样的命令

(umask 066;openssl genrsa -out /etc/pki/tls/private/wrz.key 2048)2048 指定位数

生成证书申请文件

openssl req -new -key /etc/pki/tls/private/wrz.key -days 365 -out /etc/pki/tls/wrz.csr 这是出现的界面和生成自签CA一样,需要填写信息

其中124选项在policy中为match,所以要和自签CA时填写的一致,第6项为被颁发的名称。其他可填可不填。

将证书申请文件发送到主机A上:scp /etc/pki/tls/wrz.csr 192.168.109.159:/etc/pki/CA/

主机A收到证书申请文件

CA签署证书,给请求者颁发证书

命令:openssl ca -in /etc/pki/tls/wrz.csr -out /etc/pki/CA/certs/wrz.crt -days 365 然后出现确认信息无误后就可以签名颁发证书了。

用sz命令把linux上生成的证书发送到Windows上,修改下后缀为.per 安装证书,这样就完成了自签CA和证书颁发的过程。

时间: 2024-11-05 18:31:55

CA自建和证书申请的相关文章

自建CA以及证书申请

一.自建CA 1.CA生成密钥对: 2.生成自签证书: 二.其他主机向CA发起证书申请 1.生成密钥对 2.生成证书签署请求: 3.将证书签署请求发往CA: 三 .CA签署证书,并传回给请求者 1.CA签署成熟成功: 2.将签署成功的证书传回请求者:

私有CA的创建和证书的申请

创建CA和申请证书 1.创建私有CA和所需要的文件openssl的配置文件:/etc/pki/tls/openssl.cnftouch /etc/pki/CA/index.txt 生成证书索引数据库文件echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号2.CA自签证书(1)生成私钥cd/etc/pki/CA/(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)(2)生成自签名证书o

私有CA建立和证书申请

私有CA建立和证书申请 CA在创建时有规定的格式,详细需要参考/etc/pki/tls/openssl.cnf此文件存放了CA相关的一些配置信息.以下为比较重要的2个相关配置:1.此段为CA的详细目录结构 #################################################################### [ ca ] default_ca = CA_default # The default ca section ######################

CA服务器的搭建和申请证书

目的:搭建一个CA服务器并给客户机授权认证 准备: ?? 1. 一台linux操作系统(以centos7虚拟机为例) ?? 2. 准备一台客户机(centos6虚拟机) 先上一张思维导图吧. 步骤 一.CA服务器创建. ?? 1. CA服务器我们用centos7来建立,先申请该服务器的私钥,注意路径,我们要把文件放在/etc/pki/CA/private下 ?? 2. 利用刚刚建立好的私钥生成自签名证书,注:CA的证书是自己给自己签名的. ?? 查看自签名证书??导入到windows系统中修改后

免费好用的阿里云云盾证书服务(https证书)申请步骤

推荐一个免费的阿里云产品:云盾证书(https证书) 为了能让非专业人士看懂,同样尽量用直白的话,一般来说:当你个人需要建立网站,或者公司要建立官网.商城,通常需要先购买服务器或云主机,虚拟空间,然后将网页和程序.数据库部署上去,用户就可以用浏览器访问了,比如说浏览页面的内容.登录.发表评论.购物等.这时候浏览器默认是通过http协议与网站所在的服务器进行数据交互的,由于历史的原因,http被证实并不是那么安全,容易被别有用心的人窃取信息,于是就出现了https,也就是把http加密传输,区别就

本地私有CA的创建及证书的签署

一 创建私有CA 1.准备工作 1. 修改/etc/pki/tls/openssl.cnf中dir= ../../CA 为dir= /etc/pki/CA,否则可能会读取ca时出错 2.根据openssl.cnf中的要求在/etc/pki/CA目录下分别创建 private,certs,newcerts, crl目录和index.txt,serial文件,并且给echo 01 > serial中给serial文件中添加一个证书申请的第一个编号 2. 在CA目录下的private目录中生成一个ca

openssl实现证书申请

一.openssl openssl 由3部分组成: openssl: 多用途的命令行工具 libcrypto: 加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl子命令: 1. 对称加密工具:enc,gpg 常用算法: 3des,aes,blowfish,twofish openssl enc: 加密: openssl enc -e -des3 -a-salt -in anaconda-ks.cfg -out anaconda-ks.cfg.des3 查看加密后的文件

Exchange2013 证书申请(六)

创建SSL证书请求文件 导航到"服务器">"证书".在证书页上,在"选择服务器"字段中选择相应的客户端访问服务器,然后单击"+". 在新建Exchange 证书向导中,选择"创建从证书颁发机构获取证书的请求",然后单击下一步. 指定此证书的名称,然后单击下一步. 如果想要申请一个通配符证书,勾选通配符证书请求,然后在根域字段中指定的所有子域的根域.在这里不希望请求一个通配符证书,而是想要指定添加到证书

Skype for business/Lync之证书解析(四)证书申请的四种方式

有四种方式进行证书申请,这四种方式不仅适合skype/lync,也适合任何证书申请场景(除了第一种方式): 第一种方式:在SFB/LYNC安装界面中用证书向导自动生成与分配证书,操作最简单,但生成的证书导出时不能导出私钥. 第二种方式:通过MMC,参见本系列之http://huoxian.blog.51cto.com/9437529/1680132 第三种方式:通过web 通过web申请需要使用ssl加密连接,即采取https://ca/certsrv方式,默认没有https,请增加https连