CentOS 7 CA证书服务器搭建
CA认证概述
证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。------来源百度百科
环境准备
主机 | IP地址 |
---|---|
CA证书服务器 | 192.168.1.10 |
Apache服务器 | 192.168.1.20 |
搭建过程如下
CA证书服务器的配置
[root@server ~]# yum install -y openssl //安装OpenSSL工具默认是安装好了的
[root@server ~]# vim /etc/pki/tls/openssl.cnf //查看配置文件
42 dir = /etc/pki/CA #相关证书的存放的目录
43 certs = $dir/certs #存储签发的数字证书
45 database = $dir/index.txt # 记录颁发证书的信息
51 serial = $dir/serial #记录证书编号
[root@server ~]# cd /etc/pki/CA/ //这个目录是存放证书相关的文件的地方
[root@server CA]# ls
certs crl newcerts private
[root@server CA]# cd private/ //这个目录是存放CA证书服务的私钥的地方CA证书服务器创建自签名证书并设置权限为600
[root@server ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
..............................................+++
.............................................................+++
e is 65537 (0x10001)CA证书服务器签发本地自签名证书(需要输入一些基本信息)
[root@server ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
Country Name (2 letter code) [XX]:CN //国家
State or Province Name (full name) []:SC //所在省
Locality Name (eg, city) [Default City]:CD //所在市
Organization Name (eg, company) [Default Company Ltd]:ZABBIX //单位名称
Organizational Unit Name (eg, section) []:ZABBIX-SERVER //组织单位名称
Common Name (eg, your name or your server's hostname) []:jw.com //单位的域名
Email Address []:admin@163.com 邮箱CA证书服务还需要创建两个文件,才可以执行颁发证书操作
[root@server ~]# cd /etc/pki/CA/ //进入这个目录
[root@server CA]# touch index.txt //创建记录申请证书的文件
[root@server CA]# echo 01 > serial //证书编号
[root@server CA]# cat serial
01
Apache服务器的配置
[root@clinet ~]# yum install -y httpd mod_ssl
[root@clinet ~]# echo "this is CA " >> /var/www/html/index.html //写入一个页面,暂时不要启动httpd服务器创建私钥httpd.key
[root@clinet ~]# mkdir ssl //创建一个目录
[root@clinet ~]# cd ssl/
[root@clinet ssl]# (umask 077;openssl genrsa -out /root/ssl/httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
......+++
................................................................+++
e is 65537 (0x10001)依据私钥生成证书申请文件
[root@clinet ssl]# openssl req -new -key httpd.key -out httpd.csr //填写相关信息即可
[root@clinet ssl]# ls //最后在这个目录就生成了两个文件了
httpd.csr httpd.key然后我们将生成的证书申请文件发送到 CA证书服务器进行授权操作
[root@clinet ssl]# scp httpd.csr root@192.168.1.10:/
CA证书服务器的操作
[root@server /]# openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:Serial Number: 1 (0x1)ValidityNot Before: Nov 2 06:36:27 2020 GMTNot After : Nov 2 06:36:27 2021 GMTSubject:countryName = CNstateOrProvinceName = SCorganizationName = ZABBIXorganizationalUnitName = ZABBIX-SERVERcommonName = jw.comemailAddress = admin@163.comX509v3 extensions:X509v3 Basic Constraints: CA:FALSENetscape Comment: OpenSSL Generated CertificateX509v3 Subject Key Identifier: 1B:08:30:E6:13:7A:94:26:37:C6:AA:BB:40:D8:B0:01:52:04:95:54X509v3 Authority Key Identifier: keyid:E8:F0:29:85:94:21:DA:C5:2F:47:BF:62:E8:DC:BE:78:FB:51:47:BBCertificate is to be certified until Nov 2 06:36:27 2021 GMT (365 days)
Sign the certificate? [y/n]:y //输入y是否要进行签署操作1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated然后我们在将生成的证书文件传送会Apache服务器即可
[root@server /]# scp /etc/pki/CA/certs/httpd.crt root@192.168.1.20:/root/ssl
root@192.168.1.20's password:
httpd.crt 100% 4571 7.2MB/s 00:00
Apache服务器的操作
[root@clinet ssl]# ls 然后就会如下的文件
httpd.crt httpd.csr httpd.key
[root@clinet ~]# vi /etc/httpd/conf.d/ssl.conf //然后我们编辑这个文件 添加这两个文件所在的路径即可100 SSLCertificateFile /root/ssl/httpd.crt107 SSLCertificateKeyFile /root/ssl/httpd.key先关闭防火墙以及selinux 不然等下启动会出现问题
[root@clinet ssl]# systemctl stop firewalld
[root@clinet ssl]# setenforce 0
[root@clinet ssl]# systemctl start httpd
[root@clinet ssl]# ss -tan |grep 80
LISTEN 0 128 [::]:80 [::]:*
[root@clinet ssl]# ss -tan |grep 443
LISTEN 0 128 [::]:443 [::]:*
浏览器输入https://192.168.1.20访问测试
因为我们自行搭建的证书服务器颁发的证书不具备权威性,所有浏览器还是提示为不安全
点击访问出现如下画面也是可以正常访问的
我可以点击证书来进行查看
至此,CA证书服务器结合httpd服务器的实验就此完成
CentOS 7 CA证书服务器搭建相关推荐
- ca证书 linux 导入_Linux CA证书服务器搭建
Lab3.1 准备环境: 安装openssl工具 yum install –y openssl 修改/etc/pki/tls/openssl.cnf将 dir = ../../CA修改为/etc/pk ...
- CA证书服务器(5) 架设企业根CA
在上篇博文中提到,安全技术主要是通过证书来实现的,比如我们可以为Web服务器申请证书,以实现安全通信.证书可以向一些知名的商业CA申请,但这要缴纳不菲的费用,如果我们的网站只是在企业内部或一些合作单位 ...
- CentOS下的DNS服务器搭建
CentOS下的DNS服务器搭建 实验环境:VMware workstation 10 centos 6.4 说明: DNS是计算机域名系统或域名解析服务器(Domain Name S ...
- 使用OpenSSL实现CA证书的搭建过程
个人博客地址:http://www.pojun.tech/ 欢迎访问 什么是CA CA,Catificate Authority,通俗的理解就是一种认证机制.它的作用就是提供证书(也就是服务端证书 ...
- Centos搭建简单的证书机构,CA证书服务器
CA认证: CA认证,即电子认证服务 [1] ,是指为电子签名相关各方提供真实性.可靠性验证的活动. 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构.是负责发 ...
- CA证书服务器(4) 证书、CA、PKI
前面连续用3篇博文介绍了网络安全中涉及到的一些基础知识,现在终于要讲到我们的正题了--证书以及证书服务器. 1.证书 对于我们用户来讲,在实际应用中主要是通过证书来实现前面所提到的种种安全技术,就好像 ...
- eap wifi 证书_用openssl为EAP-TLS生成证书(CA证书,服务器证书,用户证书)
我用的是openssl-1.0.2k. 脚本支持生成RSA,ECC证书. 运行时带参数指定类型. -->开始.按以下路径建立文件,脚本.ssl_create-cert-v0.4.7z ssl_c ...
- 服务器centos系统诛仙,云服务器搭建诛仙教程
云服务器搭建诛仙教程 内容精选 换一换 使用Neutron命令创建Port.使用Cinder命令,创建系统盘和数据盘.使用Nova命令,创建弹性云服务器.在创建云服务器之前,需要先申请port,并且需 ...
- CA证书服务器的搭建
架设独立CA服务器 1.打开"服务器管理器",点击"添加角色" 2.点击"下一步" 3.勾选"证书服务",点击" ...
最新文章
- mysql sa密码是什么_忘记mysql数据库root密码
- GitHub上读北大:覆盖AI高数等130多门课,讲义考题答案全都有,标星已3k+
- [云炬创业基础笔记] 第三章测试3
- Java 多态之“绑定”
- linux编译mmc驱动,Embeded linux之MMC驱动
- websocket java 例子_java 实现websocket的两种方式实例详解
- 搭建MyBatis框架
- OSO.EXE病毒专杀工具
- 远洋渔船一次出海好几年,生活枯燥,那你在船上最开心的事是啥?
- 开源搜索服务 Apache Solr 出现多个高危漏洞
- SpringBoot2注解配置定时任务和异步执行任务
- 短视频+直播系统源码 短视频直播系统源码
- 网页版结题报告html没了,[转载]我的结题报告
- 三阶贝塞尔曲线选点_贝塞尔曲线
- 2022年湖北工业大学招生简章之高起专、专升本非全日制学历提升
- 从零开始实现一个颜色选择器(原生JavaScript实现)
- stl文件的解析和在线3d打印
- 计算机多窗口显示桌面,怎么同时电脑桌面打开多个excel窗口
- t430服务器查看raid状态,dell t430 raid1教程
- linux打开7z文件_什么是7Z文件(以及如何打开一个文件)?
热门文章
- 一个去除增生性疤痕最快最好的治疗方法
- 计算机导论沙行勉猜数字,计算机导论第3章ppt课件.ppt
- 模拟战役题解(dfs,联通块,贪心)
- pythonic_Pythonic定义
- Leetcode 748 最短补全词
- 【CV】ConvNeXt:A ConvNet for the 2020s
- vulkan管线学习10
- matlab 降采样 平均,[转载]SIFT中的降采样和升采样及其MATLAB实现
- Android 美团批量打包新方案
- k近邻算法_【白话机器学习】算法理论+实战之K近邻算法