内部 CA 证书管理
内部 CA 证书管理
生成 CA 证书
# 生成 KEY
openssl genrsa -out ca.key 4096
# 生成证书
openssl req -x509 -new -nodes -sha512 -days 3650 \-subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=常用名(或域名)" \-key ca.key \-out ca.crt
导入 CA 证书
内部人员需要把该 ca.crt 证书添加到受信任的根证书中,这样通过改 CA 证书生成的其他证书也会被信任。
Windows
Windows 运行输入 certmgr.msc 然后添加。操作如下图所示:
Linux 导入 CA 证书
# 如果没有 ca-certificates 就安装
yum install -y ca-certificates# 把 ca.crt 证书放到下面目录
# /etc/pki/ca-trust/source/anchors# 执行下面命令更新证书
update-ca-trust# 如果根证书是以 *.pem 结尾,需要转换成crt,然后再执行上述步骤。命令如下:
openssl x509 -in ca.pem -inform PEM -out ca.crt
使用 CA 证书生成其他证书
例如生成泛域名证书:
# 生成 KEY
openssl genrsa -out *.erp.com.key 4096
# 生成证书请求
openssl req -sha512 -new \-subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=*.erp.com" \-key *.erp.com.key \-out *.erp.com.csr # 设置证书信息,主要是泛域名时,可以指定额外的 x.com
cat > erp.com.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names[alt_names]
DNS.1=*.erp.com
DNS.2=erp.com
EOF# 使用 CA 证书生成具体的证书
openssl x509 -req -sha512 -days 3650 \-extfile erp.com.ext \-CA ca.crt -CAkey ca.key -CAcreateserial \-in *.erp.com.csr \-out *.erp.com.crt
操作过程中生成的下面两个关键的文件:
- 私钥:
*.erp.com.key
- 公钥:
*.erp.com.crt
网站配置使用上面两个文件即可。
参考链接
- https://github.com/goharbor/harbor/blob/v1.9.3/docs/configure_https.md
- https://gist.github.com/Soarez/9688998
内部 CA 证书管理相关推荐
- 重大发现:一个免费的CA证书管理中心--EJBCA!!!
ir 最近要做ca认证中心,找了好多资料,没有一个好使的: 1.openssl--没有web方式的页面,尽管可以生成可用的ca证书和密钥,但是使用极其不便 2.jcssource,尽管有web方式 ...
- 21天让你成为Horizon View高手—Day20:证书管理
什么是数字证书? 数字证书是在Internet上表示用户身份的一种数据,它包含公钥和私钥,通过加密使得用户之间的身份得以确认,并保证数据在传输过程中的一致性,防止被他人篡改. 由于数字证书的安全特性, ...
- 大型企业CA认证系统部署应用案例解析
国内某上市公司信息化起步较早,应用系统主要分布于总公司.局公司.处公司三级单位.已经初步实现OA系统的信息整合,信息化工作进一步将围绕信息流.工作流的整合,项目管理系统的建立以及公共基础安全平台建设展 ...
- 手动证书管理与自动证书管理
X.509 证书管理涉及在连接的应用程序.服务器.系统或其他网络部分的网络中购买.部署.更新和撤销证书的过程和程序.几乎所有浏览器客户端和服务器应用程序都会在连接到指定域之前测试证书的有效性.当 We ...
- openssl 创建 CA 详细操作手册
使用Openssl创建私有CA中心的整体步骤: 1.生成root ca,再根据roo.ca生成intermediate CAs,最佳实践是,不要让root.ca直接去签名,而是让intermediat ...
- 公共CA与私有CA有何区别?
如果您阅读了<CA定义以及功能说明>这篇文章,相信您对CA有更深的认识.可是您知道证书颁发机构也分公共CA和私有CA吗?他们之间有什么区别呢?又该如何选择呢? 先了解一下到底有多少个CA? ...
- Lync Server外部访问系列PART3:准备反向代理
前面的两个PART我们完成了边缘服务器的搭建,虽然只有两篇文章但大家应该还是能够看出来边缘服务器的内容不少,特别是证书那一块.如果在部署过程中,如果有什么问题的话欢迎随时与我交流,这一篇文章中我将主要 ...
- Office Web Apps所需证书的申请分配部署详解
最近看到博客中不少朋友都在说Office Web Apps证书相关的问题,为此在这里我主要的来跟大家一起交流下Office Web Apps证书的相关内容.从我们目前的部署来说,想必所有朋友都知道Of ...
- SSL和数字证书服务慨述(4)
分发证书 一个组织需要为客户或者厂商提供证书,有三个条件.首先,它可以创建自己的内部CA,以满足它自己的安全和可用性需要.第二,它可以将它的CA需求输出给第三方,例如VeriSign或者Thawte. ...
- html电子印章,挑战电子印章系统 HTML版
产品介绍 挑战电子印章系统 HTML版是采用国家专利技术开发的电子印章系统.她可以实现HTML文档直接加盖电子印章和手写签名.挑战电子印章系统通过先进的PKI技术检测文档是否被篡改或破坏,当检测到文档 ...
最新文章
- 吴恩达:企业如何实现人工智能转型?
- 4.13 apache用户认证,跳转和访问日志
- Spring Bean引用例子
- 大数据生态及其技术栈
- 构建LAMP平台及应用系统
- vue中v-html指令的使用之Vue知识点归纳(三)
- 看qq加密相册_用 Python 爬取 QQ 空间说说和相册
- webstorm jquery语法提示_WebStorm快速入门指南,开发者必备!
- 抓住数字经济机遇 新华三助力客户加速转型
- .NET Core 中 IOptions 有什么用
- db2 sqlcode
- 用python画一个机器猫歌词_用Python语言模型和LSTM做一个Drake饶舌歌词生成器
- wp模板里面的各种判断
- 【探花交友】day06—即时通信
- 鸿蒙2000plus,天玑2000plus处理器相当于骁龙的多少
- 什么是射频中经常提到的IQ信号?
- 一对多GRE隧道配置
- 腾讯地图中轻松定义多边形
- 将彩色照片变成黑白照片
- 使用window的SMB协议实现局域网文件传输——java版
热门文章
- 肠道微生物组如何影响运动能力,所谓的“精英肠道微生物组”真的存在吗?
- win10专业版安装.net Framework4.7.2出现问题解决办法
- 计算机自我鉴定范文7月,学员自我鉴定表7篇
- 修复苹果电脑运行过程中出现的声音、触摸板失灵、键盘错键、光标乱窜问题
- FMCW雷达测速和测距原理介绍
- ubuntu 18.04设置静态ip(固定IP地址)
- 在线教育APP的功能和优势
- [Error] invalid operands to binary ^ (have ‘double‘ and ‘float‘)
- 职业教育相关的核心期刊有哪些?
- myd加入mysql数据库_数据库是.frm,.myd,myi备份如何导入mysql (转)