本地私有CA的创建及证书的签署

创建私有CA

1.准备工作

1. 修改/etc/pki/tls/openssl.cnf中dir= ../../CA 为dir= /etc/pki/CA,否则可能会读取ca时出错

2.根据openssl.cnf中的要求在/etc/pki/CA目录下分别创建 private,certs,newcerts, crl目录和index.txt,serial文件,并且给echo 01 > serial中给serial文件中添加一个证书申请的第一个编号

2. 在CA目录下的private目录中生成一个ca的私钥

(umask 077; openssl genrsa -out cakey.pem 2048)注释:此处文件名必须为cakey.pem

3.在CA目录生成一个自签证书的请求加上x509为自签表明自己为ca,否则需要提交

openssl req -new -x509 -key cakey.pem -out cacert.pem (文件名必须为cacert.pem)

进入签署模式编辑签署信息,自签署证书生成,私有CA建立完成

 为应用签署证书

以httpd为例

创建目录/etc/httpd/ssl用来存放证书,目录可以随意起名

(umask 077; openssl genrsa -out httpd.key 2048)

生成证书请求

openssl req -new  -key httpd.key  -out httpd.csr

调用CA进行签署

openssl ca -in httpd.csr -out httpd.crt 进入证书签署模式,根据提示进行同意或者拒绝

htppd.csr请求签署完成

时间: 2024-10-13 17:05:53

本地私有CA的创建及证书的签署的相关文章

私有CA的创建和证书的申请

创建CA和申请证书 1.创建私有CA和所需要的文件openssl的配置文件:/etc/pki/tls/openssl.cnftouch /etc/pki/CA/index.txt 生成证书索引数据库文件echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号2.CA自签证书(1)生成私钥cd/etc/pki/CA/(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)(2)生成自签名证书o

使用 OpenSSL 创建私有 CA:3 用户证书

OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 在前文<使用 OpenSSL 创建私有 CA:2 中间证书>中我们介绍了如何创建中间证书,并生成证书链.本文我们将介绍如何为应用生成用户证书(web 站点的 ssl 证书),并把证书部署到应用服务器上和客户端上.说明:本系列文章的演示环境为 Ubuntu 18.04,OpenSSL 的版本为 1.1.0g.

OpenSSL以及私有CA的创建

SSL中文名称安全套接层是为网络通信提供安全及数据完整性的一种安全协议.其继任者为TLS中文名称传输层安全.SSL和TLS在传输层对网络连接进行加密. 加密主要是保密性,完整性和可用性这个三个方面.保密性包括数据保密性,隐私性:完整性包括数据完整性,系统完整性 加密算法和协议有对称加密,公钥加密,单向加密,认证协议 对称加密:加密和解密使用同一个密钥:常见的算法有DES,3DES,AES,Blowfish等 特性: 1.加密.解密使用同一个密钥: 2.将原始数据分割成固定大小的块,逐个进行加密:

配置私有CA命令与配置证书(根据马哥的linux视频教程总结出来)

一:配置私用CA命令 1.编辑配置文件/etc/pki/tls/openssl.cnf 更改dir 将"../../CA"改为"/etc/pki/CA" 可以更改默认国家.省份.城市 mkdir certs  newcerts   crl touch index.txt touch serial echo 01 >serial 2.创建私有秘钥(公钥从此生成) 在/etc/pki/CA目录下 (umask 077;openssl genrsa 2048 >

实验:建立私有CA,并实现颁发证书(20190123 下午第一节)

证书的申请过程:centos6是需要证书服务的主机 centos7为服务器1.建立CA1.[[email protected] ~]# tree /etc/pki/CA/etc/pki/CA├── certs├── crl├── newcerts├── private[[email protected] ~]# cd /etc/pki/CA[[email protected] CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048 )

创建私有CA以及证书颁发详细步骤

准备两台主机,一台作为CA,IP地址为172.16.125.126:另一台作为用户,即证书请求的主机,IP地址为172.16.125.125. 在主目录为CA的相关信息就是CA所在主机.而主目录为ssl的相关信息就是客户机,即要使用到证书的主机. 第一步:在准备创建私有CA的主机上创建私有密钥:         [[email protected] CA]# cd /etc/pki/CA         [[email protected] CA]# (umask 077;openssl gen

openssh及openssl创建私有CA

ssh:secure shell,protocol ,监听TCP22,提供安全的远程登陆服务 OpenSSH:ssh协议的开源实现 dropbear:另一个开源实现 SSH协议版本: V1:基于CRC-32做MAC(消息认证码),不安全:容易受man-in-middle攻击 v2:双方主机协议选择安全的MAC方式 基于DH算法做秘钥交换,基于RSA或DSA算法实现身份认证 两种方式的用户登录认证: 口令:基于Passwd 基于KEY OpenSSH: C/S C:ssh,scp,sftp win

SSL及其开源实现OpenSSL+创建私有CA

SSL:Secure sockets Layer 安全套接字层,是工作于传输层和网络之间,利用加密和解密技术,保障应用层各应用程序在网络传输过程中安全传输.主要版本有V1.0, V2.0, V3.0,目前常用版本是V2.0. SSl会话主要三步: 客户端向服务器端索要并验正证书: 双方协商生成"会话密钥": 双方采用"会话密钥"进行加密通信: 其中前两步称为会话握手,主要可分为四个阶段: 第一阶段:ClientHello:客户端向服务器端发送会话,内容如下: 支持的

使用Openssl构建私有CA

使用Openssl构建私有CA Openssl是SSL的开源实现,是一种安全机密程序,主要用于提高远程登录访问的安全性.也是目前加密算法所使用的工具之一,功能很强大. Openssl为网络通信提供安全及数据完整性的一种安全协议,包括了主要的密码算法.常用的密钥和证书封装管理功能(CA)以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用,例如我们将会使用Openssl实现私有CA,并实现证书颁发. OpenSSL:SSL的开源实现 libcrypto:通用加密库,提供了各种加密函数 lib