ca证书 linux 导入_CA搭建与证书申请
一:创建私有CA
openssl的配置文件:/etc/pki/tls/openssl.cnf
根据此配置文件创建CA
dir:CA相关文件存放路径 /etc/pki/CA
certs:证书存放目录 /etc/pki/CA/certs
database:数据库文件 /etc/pki/CA/index.txt
new_certs_dir:新颁发证书存放路径 /etc/pki/CA/newcerts
certificate:自颁发证书 /etc/pki/CA/cacert.pem
serial:下一个证书的序列号 /etc/pki/CA/serial
private_key: 私钥 /etc/pki/CA/private/cakey.pem
crl_dir:证书吊销列表
crlnumber:下一个吊销证书的序列号
default_days 证书有效期
policy:策略
countryName = match 匹配
stateOrProvinceName =match 匹配
organizationName = match 匹配
客户端向服务端申请CA证书,此三项必须匹配
若策略由match更改为其他选项,则不用强制匹配
1:创建所需要的文件夹
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
2:生成CA秘钥
(umask 077; openssl genrsa –out /etc/pki/CA/private/cake.pem 2048)
生成秘钥,不带密码
成功生成文件cakey.pem文件
3:生成自签名证书
openssl req -new -x509 –key
/etc/pki/CA/private/cakey.pem -days 7300 -out
/etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
/etc/pki/CA/cacert.pem为自签名证书
查看自签名证书的相关信息:
openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
在windows上查看自签名ca证书的相关信息
1)rz /etc/pki/CA/cacert.pem 导出文件至windows
2) 更改文件后缀为.cer
二:客户端申请证书
1:创建私钥
(umask 077; openssl genrsa –out /app/service.key 4096)
2:利用私钥生成ca证书请求文件
openssl rep –new –key /app/service.key -out /app/service.csr
三:颁发证书
openssl ca -in /etc/pki/CA/csr/service.key –out /etc/pki/CA/cert/service.crt
此时数据库更新了
下一个证书的编号
查看已经颁发的证书:
查看已颁发证书的详细信息:
cat /etc/pki/CA/certs/service.crt
四:在windows中查看CA颁发的证书
1)上传文件sz /etc/pki/CA/certs/service.crt
2)查看:无上级证书路径
3)安装根CA至安全信任列表
也就是安装CA生成的自签名证书
4)再次查看service证书
五:申请多个证书
1:无需重复生成秘钥,直接生成另外的申请文件即可
openssl req –new –key /app/service.key –out /app/service2.csr
![clipboard.png](/im
2 :上传文件scp /app/service2.csr 192.168.80.166:/etc/pki/CA/csr
3: 颁发证书
openssl ca -in csr/service2.csr -out certs/service2.crt -days 7000
不成功,国家名不匹配
4更改ca策略,使其成功
vim /etc/pki/tls/openssl.cnf
1)把国家更改为可选的,其他两项没做更改,重新申请
openssl ca -in csr/service2.csr -out certs/service2.crt -days 7000
2)再去更改州及公司的匹配策略
重新创建 ok
六:/etc/pki/CA目录简要描述
其中:csr目录是自建的,方便存储CA申请文件
index.txt:也是自建的,格式也必须固定为index.txt
serial:文件也是自建的,文件名固定。其数值范围刚开始设
定,固定在00-99之间
index.txt.attr: 内存放的是subject的策略。
默认值为yes。subject内的内容是不可以全部都一致的,一致则不能颁发证书
cat index.txt.attr
unique_subject = yes
打开pem格式的文件使用命令
openssl x509 –in /etc/pki/CA/caert.pem –noout –text
七:证书的吊销
1:吊销
openssl ca –revoke /etc/pki/CA/newcerts/02.pem
2:指定第一个吊销证书的编号
手工创建吊销列表文件
echo 01 > /etc/pki/CA/crlnumber
3:更新吊销证书列表
更新:
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl内的pem文件
openssl crl -in /etc/pki/CA/crl/crl.pem –noout -text
ca证书 linux 导入_CA搭建与证书申请相关推荐
- ca证书 linux 导入_Linux CA证书服务器搭建
Lab3.1 准备环境: 安装openssl工具 yum install –y openssl 修改/etc/pki/tls/openssl.cnf将 dir = ../../CA修改为/etc/pk ...
- ca 服务器的搭建 和证书的申请与颁发
CA是证书的签发机构,它是PKI的核心.CA是负责签发证书.认证证书.管理已颁发证书的机关.它要制定政策和具体步骤来验证.识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权,那么 ...
- 搭建 数字证书_CA认证介绍及搭建过程
CA认证的介绍 翻译成: 认证中心,主要用途:实现为用户发放数字证书. 认证中心(CA)功能: 证书发放,证书更新,证书撤销和证书验证 总结签证过程: 生成请求文件 CA确认申请者的身份的真实性 CA ...
- LINUX 导入pfx证书
LINUX 导入pfx证书 导入证书 pk12util -d sql:$HOME/.pki/nssdb -i XXXX.pfx 查看证书 certutil -d sql:$HOME/.pki/nssd ...
- Linux导入cer证书
linux系统导入.cer安全证书 证书的导入分为两个步骤: 1 .cer转化为.pem格式: openssl x509 -in api.cer -out api.pem 2 将.pem文件追加到信任 ...
- 自建CA证书以及导入到浏览器实现https安全连接
自建CA证书以及导入到浏览器实现https安全连接 安装 openssl(一般centos 系统都会自带安装好的了) 目录:/etc/pki/CA/ yum install openssl opens ...
- OpensAS2搭建+AS2证书制作+SSL证书导入(EDI)
参考: https://www.cnblogs.com/chenkeven/p/9257251.html 感谢东郭仔博文 背景: 公司部分业务采用EDI(Electronic data interc ...
- java和签名工具_java 证书工具keytool生成自签名证书和自签CA证书
jdk自带的证书管理工具叫keytool,在jdk/bin目录下,可以用来生成自签名证书.导入导出证书.打印证书信息等. 1. 名词 自签名证书:用自己的私钥签发自己的公钥即主体信息生成的证书. 证书 ...
- crt证书linux使用,linux下使用openssl生成https的crt和key证书
x509证书一般会用到三类文,key,csr,crt Key 是私用密钥openssl格,通常是rsa算法. Csr 是证书请求文件,用于申请证书.在制作csr文件的时,必须使用自己的私钥来签署申,还 ...
最新文章
- 工具库 --- Validator (JS正则)
- 他,16岁辍学创业,如今已身家过亿!今年将实现飞向太空的梦想
- 面包板上的高频放大电路
- 用java编写一个函数,统计一个字符串中每个字母出现的次数
- webpack4.x Loaders
- DDoS攻防战 (二) :CC攻击工具实现与防御理论
- typedef void(*Fun)(void);
- boost::mp11::mp_compose相关用法的测试程序
- C4.5-Release8的代码架构图
- mybais逆向工程快速生成实体和基本xml
- java使用rabbitmq
- 数据库某个字段增加或减少数量
- 学习pytorch: 语义分割工具
- 【渗透测试】利用永恒之蓝漏洞实现桌面监控
- PG数据库创建视图并授权给新用户
- 开始时间 结束时间,全程的运行时间的计算
- 数学与计算机学院英文翻译,数学与计算机,mathematics and computer science,音标,读音,翻译,英文例句,英语词典...
- Curator实现分布式锁的基本原理
- 瑞芯微RK3288处理器性能,RK3288芯片参数介绍
- 【Excel VBA和Python对照学习】创建字典
热门文章
- Vita Helper v0.08 Build 20140722
- (uC/OS-II学习笔记)关于共享资源与信号量
- 算法:ACM二分图匹配 HDU2063
- SQLite header and source version mismatch解决方案
- 分布式事物解决方案-TCC
- 解决Springboot+JPA中多表关联查询会查询多次的问题(n+1查询问题)
- 为解决Thymeleaf数字格式化问题而想到的几种方案
- MySql报2006error错误的解决方法(数据过大)
- 找到多个与名为“ Home”的控制器匹配的类型
- 如何在R中正确使用列表?