CA数字证书部署

CA数字证书

CA,Certificate Authority

数字证书授权中心

-被通信双方信任的,独立的第三方机构

-负责证书颁发,验证,撤销等管理

部署CA服务器

自定义机构名称与CA服务器主机名

机构名称:xiaoren

CA服务器主机名 www.xiaoren.cn

第一步:部署CA证书签署环境

# vim /etc/pki/tls/openssl.cnf    //配置文件

42行 dir              /etc/pki/CA/        //CA签署工作目录

43行 certs          = $dir/certs         //用户证书存放路径

45行 database   = $dir/index.txt   //存放发出的数字证书,默认不存在,需要创建

50行 certificate  = $dir/my-ca.crt   //CA根证书文件,可自定义一个易记的名字

51行 serial         = $dir/serial         //证书编号文件

55行 private_key = $dir/private/my-ca.key        //CA私钥文件,可自定义一个易记的名字

130行 countryName_default                    = CN         //国家名称

135行 stateOrProvinceName_default      = beijing     //所在省

138行 localityName_default                     = beijing     //城市

141行 0.organizationName_default         = xiaoren    //机构名称

148行 organizationalUnitName_default   = ope         //部门名称

根据配置文件的设置创建对应的文件,为了安全可以设置权限

# touch /etc/pki/CA/index.txt

# chmod 600 /etc/pki/CA/index.txt

# echo 01 > /etc/pki/CA/serial

# chmod 600 /etc/pki/CA/serial

第二步:创建私钥文件

# cd /etc/pki/CA/private/

# openssl genrsa -des3 2048 > my-ca.key  //私钥名字与配置文件设置相匹配

.....

Enter pass phrase:   //设置私钥口令密码

Verifying - Enter pass phrase:  //重复输入

# cat my-ca.key

# chmod 600 my-ca.key

第三步:创建根证书文件

# cd /etc/pki/CA/

# openssl req -new -x509 -key ./private/my-ca.key -days 365 > my-ca.crt

-new新文件   -x509根证书格式   -key 调用文件   -days指定有效期

Common Name (eg, your name or your server‘s hostname) []:www.xiaoren.cn  //主机名,与前面相匹配

Email Address []:[email protected]  //邮箱地址,设置自己的

第四步:共享根证书给客户端,使用httpd服务共享

# mkdir /var/www/html/ca      //在网站服务下建一个目录

# cp /etc/pki/CA/my-ca.crt /var/www/html/ca    //将根证书文件拷贝到网页下

# chmod +r /var/www/html/ca/my-ca.crt

# systemctl restart httpd

客户端测试(下载根证书)

使用浏览器访问CA服务器

原文地址:https://www.cnblogs.com/xiaoren112/p/8390582.html

时间: 2024-11-08 06:50:38

CA数字证书部署的相关文章

Linux 部署CA数字证书服务

CA数字证书服务 CA Certificate Authority 数字证书授权中心 被通信双方信任的,独立的第三方机构 负责证书颁发,验证,撤销等管理 PKI公钥基础设施 一套标准的密钥管理平台 通过公钥加密,数字证书技术确保信息安全 PKI体系的基础组成 权威认证机构(CA) 数字证书库,密钥备份及恢复系统 证书作废系统,应用接口 OpenSSL加密/解密工具 对称加密: - enc 算法 -e -in 输入文件 -out 输出文件 #加密 - enc 算法 -d -in 输入文件 -out

数字签名,数字证书,CA认证等概念理解

本文将介绍数字签名,数字证书以及CA相关知识. 加密相关知识可见我的上一篇博文:http://watchmen.blog.51cto.com/6091957/1923426 本文参考文献引用链接: 1.https://www.zhihu.com/question/25912483 2.https://blog.jorisvisscher.com/2015/07/22/create-a-simple-https-server-with-openssl-s_server/ 3.https://zh.

数字证书在WEB应用中登录

1数字证书登录认证的优点 作为企业信息系统的第一道大门,身份认证是确保企业信息资源只能被合法用户所访问的重要保障. 传统的口令认证方式虽然简单,但是由于其易受到窃听.重放等攻击的安全缺陷,使其已无法满足当前复杂网络环境下的安全认证需求. 传统账号+口令登录的弊端: 1.         口令易被猜测.由于有的用户为了方便记忆,使用非常简单的口令,比如"1234"."abcd"等这些非常容易被猜测的口令. 2.         口令易被窃听.大家都知道,WEB应用在互

https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL

转自:https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/121534.html 数字签名: http://www.

SSL,HTTPS,数字证书 是什么?

一.SSL协议简介 SSL是Secure Socket Layer的缩写,中文名为安全套接层协议层.使用该协议后,您提交的所有数据会首先加密后,再提交到网易邮箱,从而可以有效防止黑客盗取您的用户名.密码和通讯内容,保证了您个人内容的安全.是提供通信保密的安全性协议.SSL最初是由美国Netscape公司研究出来的,现已成为网络上用来鉴别网站的真实身份,以及在浏览器与网站WEB服务器之间进行加密通讯的全球化标准.由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装SSL服务器

JAVA中数字证书的维护及生成方

Java中的keytool.exe可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息.证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥.  每一个证书库是一个文件组成,它有访问密码,在首次创建时,它会自动生成证书库,并要求指定访问证书库的密码.  在创建证书的的时候,需要填写证书的一些信息和证书对应的私钥密码.这些信息包括 CN=xx,OU=xx,O=xx,L=xx,

基于ejbca community 6.3.1.1构建独立ca系统管理数字证书

"数字证书"这个名词相信很多人听过,但并不了解,"ejbca"可能很多人都没有听过 数字证书(Certificate),就是互联网通信过程中标志通信各方身份的一个文件,可以理解为"网络身份证",主要目的是验证身份 ejbca,是一个CA(Certificate Authority)系统软件,CA是数字证书认证中心的简称,主要功能是管理数字证书,包括证书的颁发.销毁.更新等,ejbca实现了CA规范,因此可以用来管理数字证书 接下来,笔者将按照ej

CA与数字证书的自结

1.CA CA(Certificate Authority)是数字证书认证中心的简称,是指发放数字证书.管理数字证书.废除数字证书的权威机构. 2.数字证书 假设向CA申请数字证书的单位为A,则他申请的数字证书中含有的内容为: a)A的公钥数据 b)相应私钥拥有者(也就是A)的身份信息 c)CA机构对数字证书进行了数字签名 d)包含了CA的名称,以便于依赖方找到CA的公钥.验证证书上的数字签名 Remarks:在第c)条中,当某个用户得到某个单位的数字证书时,要该数字证书进行认证,就是看看是不是

SSL证书必知必会:数字证书及CA基础知识

SSL证书必知必会:数字证书及CA基础知识 数字证书 数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字***,而是身份认证机构盖在数字***上的一个章或印(或者说加在数字***上的一个签名).它是由权威机构--CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份.最简单的证书包含一个公开密钥.名称以及证书授权中心的数字签名.数字证书的一个重要的特征就是只在特