openssl续

建立私有ca:

openCA

openssl：/etc/pki/tls/openssl.cnf

(1) 创建所需要的文件

# /etc/pki/CA

# touch index.txt

# echo 01 > serial

(2) CA自签证书

# (umask 077; openssl genrsa -out
/etc/pki/CA/private/cakey.pem 2048)

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm
-days 7300 -out /etc/pki/CA/cacert.pem

-new: 生成新证书签署请求；

-x509: 专用于CA生成自签证书；

-key: 生成请求时用到的私钥文件；

-days n：证书的有效期限；

-out /PATH/TO/SOMECERTFILE: 证书的保存路径；

(3) 发证

(a) 用到证书的主机生成证书请求；

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key
2048)

# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365
-out /etc/httpd/ssl/httpd.csr

(b) 把请求文件传输给CA；

# openssl ca -in /tmp/httpd.csr -out
/etc/pki/CA/certs/httpd.crt -days 365

查看证书中的信息：

openssl x509 -in /PATH/FROM/CERT_FILE -noout
-text|-subject|-serial

(4) 吊销证书

(a) 客户端获取要吊销的证书的serial

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial
-subject

(b) CA

先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致；

吊销证书：

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

# echo 01 > /etc/pki/CA/crlnumber

(d) 更新证书吊销列表

# openssl ca -gencrl -out thisca.crl

查看crl文件：

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

证书申请及签署步骤：

1、生成申请请求；

2、RA核验；

3、CA签署；

4、获取证书；

时间： 2024-11-08 09:08:33

openssl续的相关文章

Openssl 创建CA和申请证书

Openssl 创建CA和申请证书 =============================================================================== 概述: 本章是上篇加密解密技术的续,主要介绍Openssl创建CA.申请证书.办法证书的整个操作,具体内容如下: 创建私有CA: 给节点颁发证书: 吊销证书详情查看上篇加密解密技术:http://1992tao.blog.51cto.com/11606804/1856438 ============

NuGet包断线续传下载

(金庆的专栏) NuGet是VC的扩展,用来下载依赖包.NuGet下载没有断线续传,下载源又很容易断开. https://nuget.org/api/v2/ https://go.microsoft.com/fwlink/?LinkID=230477 对于大一点的包就无法下载成功,多次尝试没一次成功. E:\github\Cpp\grpc\vsprojects>d:\tools\nuget restore grpc.slnMSBuild auto-detection: using msbui

php7实现基于openssl的加密解密方法

还需要注意的是加密字符串长度问题,如果加密字符串长度太长需要进行分段加解密,如下代码: 加密:(公匙加密,私密一般用来解密) function encrypt($originalData){ $publicKeyFilePath = '/www/ceshi/rsa_public_key.pem'; extension_loaded('openssl') or die('php需要openssl扩展支持'); file_exists($publicKeyFilePath) or die('公钥的文

基于源码编译openssl

openssh依赖于openssl,由于ssl频繁曝出漏洞,牵扯到openssh.而自身也存在漏洞... 00.下载openssl https://www.openssl.org/source/ https://github.com/openssl/openssl/releases https://www.openssl.org/source/openssl-1.0.2l.tar.gz 01.准备工作 yum -y install perl perl-devel gcc gcc-c++ 02.编

openssl基础

OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法.常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用. OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the Transport Layer Security (TLS) and Secure Sockets Layer (SSL) prot

OpenSSL Heartbleed “心脏滴血”漏洞简单攻击示例

OpenSSL Heartbleed漏洞的公开和流行让许多人兴奋了一把,也让另一些人惊慌了一把. 单纯从攻击的角度讲,我已知道的,网上公开的扫描工具有: 1. Nmap脚本ssl-heartbleed.nse: http://nmap.org/nsedoc/scripts/ssl-heartbleed.html 1 nmap -sV --script=ssl-heartbleed <target> 2. Jared Stafford的testssl.py: https://gist.gith

Centos7 httpd+openssl+ssh登录实现过程(爱你就给你写详细点)

上篇已经讲了LAMP的yum简易搭建 http://rexchow.blog.51cto.com/11619161/1885533 我们针对这套服务延伸openssl功能原理就不多说了,谷X百X去环境说明: server:CentOS7-192.168.230.202 client: win8.1-192.168.230.59 Apache/2.4.6 php Version 5.4.16 5.5.52-MariaDB 新增签发服务器:192.168.230.204 需要安装openssl

openssl、openssh升级

近期公司应用需要用到https协议:Centos6.5自带的的openssl 1.0.1e版本存在名为"心脏出血"的漏洞. 环境:CentOS6.5_x86_64 准备相关的包openssh下载地址:http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssl相关包下载:http://www.openssl.org/source/pam相关包下载:http://pkgs.org/centos-6/centos-x

Windows 一键安装OpenSSL

原理:OpenSSL在github上有开源项目,我们只需要把代码克隆到本地,在本地编译一下就好了注意事项: 1->在github上获取源码,必须要安装git for windows,网址 https://git-for-windows.github.io 2->OpenSSL的配置文件需要Perl语言来解析,所以本地电脑需要安装Perl脚本运行环境 perl官网下载地址 : https://www.perl.org/get.html 我选择的是草莓版(Strawberry) ,下载后安装P