ssl协议,openssl,创建私有CA
SSL是Security Socket Layer;安全的套接字层
他介于HTTP和TCP协议层之间
SSL是Netscape公司开发的,属于个人
TLS是标准委员会制定的
OpenSSL是SSL的开源实现
CA:证书颁发机构:Certification Authority
两台主机要通信,他们需要先建立链接,建立链接的时候又需要保证这个链接是安全的,那么如何保证安全呢?
这里就需要用到SSL来保证传输的安全性,SSL可以生成一对秘钥对,在建立安全链接的时候,客户端发出请求到服务器端,服务器端收到请求,把自己的公钥通过网络传给客户端,然后安全链接就建立了,之后发出的包都是通过这个安全链接来传送的,这个安全链接是虚拟的,只是每一个数据包的首部都增加了一个对应的SSL头部的字段,经过解密以后才能得到HTTP包的内容,客户端收到包后,需要使用服务端给发送过来的公钥来进行相应字段段的解密,解密成功以后,才可以得到对应的HTTP包。
一个服务商发布了一个软件,希望得到用户们的支持,但是用户担心下载到的软件不安全,这么如何保证这个软件的安全性?
这里就需要用到CA来保证这个服务商发布的软件是安全的,CA会给这个服务商颁发一个数字证书,这个证书就可以证明这个软件是安全的,我们可以放心使用。那么,这个证书颁发机构肯定是权威的,不然出了问题找谁去呢,对吧。比如我们新建了一个网站,这个网站没有经过CA认证,没有给你颁发证书,那你的网站到底安全不安全呢,这时候如果有客户访问我们的网站,就会弹出来一个框告诉我们这个网站不一定安全,出了什么事你自己兜着。这时候胆子小点的,或者担心中招的朋友肯定就不会接着访问了,然后我们的网站慢慢就没人访问了,那这时候你就需要去权威机构买一个证书来证明你的网站是安全的。所以CA就担任了这个作用了,这里只说了道理,具体的可以上http://kb.cnblogs.com/page/194742/ 和 https://baike.baidu.com/item/ca%E8%AF%81%E4%B9%A6/10028741?fr=aladdin这看看。
接下来是具体的命令:
//自定义自己的CA来给自己颁发证书
openssl req -new -x509 -key server1024.key -out server.crt -days 365
//显示自定义的CA的具体信息
openssl x509 -text -in server.crt
//修改CA的配置文件(/etc/pki/tls/openssl.cnf)
把dir改为绝对路径
//到/etc/pki/CA/生成对应的私钥
(umask 077; openssl genrsa -out private/cakey.pem 2048)
//根据私钥生成对应的自签证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem
//在/etc/pki/CA/下生成对应的其他文件
mkdir certs newcerts private
touch index.txt
touch serial
echo 01 > serial
实验:给自己的httpd服务器签发证书(rhel系列)
1. 到/etc/httpd/目录下创建一个SSL目录
mkdir /etc/httpd/ssl
2. 为httpd服务器生成私钥
cd /etc/httpd/ssl
(umask 077; openssl genrsa -out httpd.key 1024)
3. 为httpd服务器生成申请
openssl req -new -key httpd.key -out httpd.csr
之后填写申请表
4. 填完之后,就可以拿着申请去签名了,下面是签名命令
openssl ca -in httpd.csr -out httpd.crt -days 365
5. 截止此处证书签发完毕
6. 作为CA,怎么查看自己签发过的申请呢?
cd /etc/pki/CA
cat index.txt //index.txt中存放的是签发过的CA证书信息
cat serial //下个CA证书的序列号
7. 生成测试用的证书,仅在rhel系列
cd /etc/pki/tls/certs
make httpd.pem
此方法仅用在测试中,因为私钥也在证书中
转载于:https://www.cnblogs.com/StivenYang/p/8441300.html
ssl协议,openssl,创建私有CA相关推荐
- openssl创建私有ca
openssl创建私有ca 1.ssl大概内容 PKI:公钥基础设施结构 CA:证书权威机构,PKI的核心 CRL:证书吊销列表,使用证书之前需要检测证书有效性 证书存储格式常见的X509格式 包含内 ...
- 加密解密技术基础及用OpenSSL创建私有CA
1.加密解密技术基础 (1)进程通信 传输层协议有TCP,UDP,SCTP等,端口号port表示进程地址,进程向内核注册独占使用某端口. 同一主机上的进程间通信方式:进程间通信(IPC), 消息队列( ...
- openssl 创建私有CA
创建私有CA: openssl的配置文件:/etc/pki/tls/openssl.cnf 1.创建所需要的文件 #touch index.txt #echo 01 > serial # 2.给 ...
- 简述ssl协议及利用openssl创建私有CA
我在这个链接中简单的介绍了下加密解密原理和相关算法及其实现:http://starli.blog.51cto.com/8813574/1671408 CA是什么?为什么需要CA? 先看下面的互联网安全 ...
- 在企业内部使用openssl创建私有CA
随着计算机技术的发展,信息网络技术的应用日益深入,这些应用改进了企业工作方式,提高了工作效率.而如何确保在网络中传输的身份认证.机密性.完整性.合法性.不可抵赖性等问题成为企业进一步发展和推动企业信息 ...
- 网络通信中的加密解密及openssl和创建私有CA详解
本文大纲: 1.为什么网络通信要进行数据加密? 2.数据加密方式有哪些?它们是如何进行加密的? 3.通信中是如何进行数据加密传输的? 4.https方式进行数据传输的具体流程 5.SSL 的实现工具O ...
- linux加密解密基础、PKI及SSL、创建私有CA
linux加密解密基础.PKI及SSL.创建私有CA 1.加密解密基础: 数据在网络中传输过程中要保证三个要点: (1)数据的完整性:防止数据在传输过程中遭到未授权用户的破坏或篡 ...
- openssl工具的使用以及创建私有CA
openssl软件包在安装之后,主要会生成三段重要内容:加密库 ssl相关库文件 openssl命令行工具 下面就来介绍一下openssl命令行工具的使用: openssl和yum类似,有着许许多多的 ...
- Openssl加密文件及创建私有CA及证书
# cat /etc/redhat-release CentOS release 6.6 (Final) # uname -r 2.6.32-504.el6.x86_64 首先我们先演示加密文件的方式 ...
- OpenSSL以及私有CA的搭建
首先我们肯定会问什么是OpneSSL,以及OpenSSL有什么用?当让这不仅是刚接触Linux的我想知道,相信大多数人和我一样也非常想知道,因为OpenSSL是linux上基础的服务之一,了解它的应用 ...
最新文章
- Sublime Text 2 安装配置插件
- 渗透测试必备技能,踩点信息收集
- 智能问答在金融领域中的实践与应用
- 【转】对ASP.NET程序员非常有用的85个工具
- 马斯克发推:8月特斯拉Autopilot实现完全自动驾驶
- 山地车中轴进水表现_4种自行车中轴的拆卸和保养方法
- Method of Four Russians 算法
- 企业信息化思考 - 如何确保信息化项目落地
- 第1章 linux的历史演绎
- 图解LVS的工作原理
- Cython(一)安装与使用
- Tushare介绍和入门级实践(1)——使用tushare接口获取沪深300成分股交易日涨跌数据
- 你会copying了吗?(Effective C++ 12 复制对象时勿忘其每一个成分)
- 可口可乐迎来重大人事变动:全球COO、CFO和CTO都要换人
- 最优化方法——QR Factorization
- Matlab 伪彩色处理方法总结(密度分割法、灰度级变换法、频域变换法)
- iOS10会带来哪些新变化?
- 股票质押式回购交易和约定购回式证券交易的异同是什么?
- nor flash之写保护
- slic去除识别效果图中的裂纹(修改opencv中的库函数)