2. 程式人生 > 其它 >【08-01】建立私有CA並進行證書申請

【08-01】建立私有CA並進行證書申請

阿新 發佈:2022-03-22

建立私有CA並進行證書申請。

0.建立私有CA的準備

建立私有CA的過程:

  1. 建立私有CA
    1. 生成CA私鑰
    2. 生成CA自簽名證書
  2. 使用者證書申請
    1. 生成使用者私鑰
    2. 生成使用者證書申請檔案
    3. 申請檔案轉化為證書檔案
  3. 可用性驗證
    1. 安裝CA證書伺服器的證書
    2. 安裝使用者證書

0.1 建立環境

CentOS8沒有相應的檔案所以需要手工建立

[root@rhel8 ~]# mkdir /etc/pki/CA/{certs,crl,newcerts,private} -pv   #建立相關資料夾
[root@rhel8 ~]# touch /etc/pki/CA/index.txt            #生成證書索引資料庫檔案
[root@rhel8 
 
~]# echo 01 > /etc/pki/CA/serial           #生成辦法證書初始序號(16進位制)
[root@rhel8 ~]# tree /etc/pki/CA/                   #檢視生成的檔案
/etc/pki/CA/
├── certs
├── crl
├── index.txt
├── newcerts
├── private
└── serial

0.2 配置檔案

[root@rhel8 ~]# vim /etc/pki/tls/openssl.cnf
# CA相關設定
####################################################################
[ ca ]
default_ca      
 
= CA_default            # The default ca section

####################################################################
[ CA_default ]

dir             = /etc/pki/CA           # 這個目錄預設沒有這個資料夾 需要手工建立,
certs           = $dir/certs            # 放頒發的證書
crl_dir         = $dir/crl              # 證書吊銷列表
database        
 
= $dir/index.txt        # 1.所有證書的索引 需要建立空檔案
#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several certs with same subject.
new_certs_dir   = $dir/newcerts         # 新證書存放位置

certificate     = $dir/cacert.pem       # 建立自簽名證書(CA)
serial          = $dir/serial           # 2.證書編號 序列號 需要人為寫個資料後才能自動增長N+1
crlnumber       = $dir/crlnumber        # 證書吊銷列表編號
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # 證書吊銷列表檔案
private_key     = $dir/private/cakey.pem# 私鑰 (CA的私鑰檔案)
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
default_days    = 365                   # 證書預設有效期
default_crl_days= 30                    # 吊銷時間 CRL
default_md      = sha256                # use SHA-256 by default
preserve        = no                    # keep passed DN ordering
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy      = policy_match   #這裡為預設規則設定

[ policy_match ]      # For the CA policy 證書的匹配策略 match必須為一致 使用和簽發的CA位置必須要在一起
countryName             = match          #國家
stateOrProvinceName     = match          #省份
organizationName        = match          #城市|州
organizationalUnitName  = optional          #組織
commonName              = supplied          #部門
emailAddress            = optional          #

[ policy_anything ]   # 該策略不受規則限制
countryName             = optional          #國家
stateOrProvinceName     = optional          #省份 州
localityName            = optional          #城市
organizationName        = optional          #組織名
organizationalUnitName  = optional          #部門名
commonName              = supplied          #
emailAddress            = optional          #

 

 

1.建立私有CA

1.1 生成CA私鑰

[root@rhel8 ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048)
#Centos8不需要做umask許可權操作 這裡留底方便其他場景,防止忘記
#-des3為對稱加密演算法man genrsa 其實也可以不增加,但是為了安全考慮還是增加為好。還可以使用其他的演算法
#[aes128|aes192|aes256|aria128|aria192|aria256|camellia128|camellia192|camellia256|-des|-des3|-idea]

1.2 生成CA自簽名證書

[root@rhel8 ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem   #根據私鑰檔案建立證書檔案pem在win下面改字尾crt可用
Enter pass phrase for /etc/pki/CA/private/cakey.pem: #輸入建立私鑰的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                                     #國家編碼
State or Province Name (full name) []:nmg                    #省|區
Locality Name (eg, city) [Default City]:baotou                 #市|城
Organization Name (eg, company) [Default Company Ltd]:FeiFa         #企業名稱
Organizational Unit Name (eg, section) []:it                  #所在部門
Common Name (eg, your name or your server's hostname) []:ca.feifa.com  #域名
Email Address []:[email protected]                        #郵箱

2.使用者證書申請

2.1 生成使用者私鑰

[root@rhel8 ~]# mkdir -p /data/app1/
[root@rhel8 ~]# (umask 077;openssl genrsa -out /data/app1/app1.key 2048) #建立key檔案 這次不加密
[root@rhel8 ~]# cat /data/app1/app1.key #檢視檔案
-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAwkMoUonfvc71IMrYyxK+U73dILYwc8JvR15eyajKYk4cQyKT
……………………………………
I1PW47YUVMAWUdS82IFReYR1LOSxy2evAyf6moRcV+isMNtxpZTIO9rgkBb86NS0
JFbGYbsHC1sS/PbQamYmJ+AcS7jXKEtyWBkfSTcVHAK2AlP0+6aRJw==
-----END RSA PRIVATE KEY-----

2.2 生成使用者證書申請檔案

[root@rhel8 ~]# openssl req -new /data/app1/app1.key -out /data/app1/app1.csr #將key轉換為csr的證書申請檔案
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                                        #* 國家 必須與自籤的一致
State or Province Name (full name) []:nmg                        #* 省|區 必須與自籤的一致                
Locality Name (eg, city) [Default City]:alashan                 #城市
Organization Name (eg, company) [Default Company Ltd]:FeiFa                #* 企業名稱 必須與自籤的一致
Organizational Unit Name (eg, section) []:aa                               #部門名稱
Common Name (eg, your name or your server's hostname) []:app.feifa.com     #域名
Email Address []:[email protected]                                             #郵箱

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

2.3 申請檔案轉化為證書檔案

[root@rhel8 ~]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1095 #生成的檔案為crt檔案
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Mar 22 01:52:52 2022 GMT
            Not After : Mar 21 01:52:52 2025 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = nmg
            organizationName          = FeiFa
            organizationalUnitName    = aa
            commonName                = app.feifa.com
            emailAddress              = [email protected]
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                54:19:74:86:99:8C:D0:08:DF:3D:10:94:54:8D:62:C5:91:0D:E5:CA
            X509v3 Authority Key Identifier: 
                keyid:7C:42:E1:68:86:92:D3:2A:4B:80:98:98:6C:9A:AB:1C:6E:F0:45:B9

Certificate is to be certified until Mar 21 01:52:52 2025 GMT (1095 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

3.可用性驗證

3.1 匯入私有CA證書

1.將/etc/pki/CA/cacert.pem檔案放入windows中改副檔名為crt檔案 雙擊執行 

1.  2.   3.  4. 

點選完成後 會提示安全警告 選擇 是 即可 然後便匯入成功

3.2 匯入其他證書檔案

當系統匯入CA證書後再匯入生成的其他證書便沒有安全警告了

只要確認頒發者和證書路徑是我們的ca伺服器就行

 

相關推薦

08-01建立私有CA進行證書申請

建立私有CA進行證書申請。 0.建立私有CA的準備 建立私有CA的過程: 建立私有CA

建立私有CA進行證書申請

由於很多時候做實驗需要用到證書,就需要自己搭建一個私有CA來給自己頒發證書。同時通過整理建立CA申請證書、吊銷證書的過程加深自己的理解.

建立私有CA和頒發證書

證書申請及簽署步驟:   1、生成申請證書   2、RA核驗   3、CA簽署   4、獲取證書

SQL server建立、修改、刪除資料庫及其相關檔案

參考資料:愛課程·資源共享課 ·大型資料庫 use master --建立新資料庫時,要設定master為可用資料庫,即使用master

openssh及openssl建立私有CA

ssh:secure shell,protocol ,監聽TCP22,提供安全的遠端登陸服務 OpenSSH:ssh協議的開源實現

Dotnet9-01從0開始搭建開源專案-lqclass.com

行文目錄 一. 前言 1.1 我的現有網站 1.2 想法:新開發一個網站 1.3 目前開發計劃

鴻蒙開發建立第一個Feature

目錄: 1. 建立Service變數 2. 建立Feature變數 3. 註冊Service&Feature 4. 新增初始化 原始碼裡是有Feature的示例的,但當自己寫一個自己的Feature時,卻遇到了各種問題,有些是示例程式碼和文件沒有說明的小坑

elasticsearch7.x建立索引、獲取索引配置資訊

技術標籤:elasticsearchelasticsearchjava大資料 package com.es.fixData.get; import java.io.IOException;

Demo-01--Tutorial/Basic

技術標籤:Unity Shader Examples 本文采用程式碼和註釋分離的形式記錄閱讀筆記,目的在於閱讀的時候可以記思考,在思考之後在繼續閱讀下文,和註釋進行核對,得到前後的立即對比,增加理解能力。所以採用直

android studio建立1M的檔案,內容隨機,對其進行讀寫驗證

技術標籤:android studioandroid studiojava 我傻了,之前建立1M檔案的時候,我檢視檔案屬性總是發現檔案不是1M,一直以為是io流的原因,又是加flush和close也沒有用,然後今天我突發奇想的去adbshell看了一下檔

後端建立攔截器——使用者必須先通過某個介面(如:登入介面),進入到另個頁面

技術標籤:計算機後端javajava 使用者必須先通過某個介面A(如:登入介面)後才能進入另一個介面B,即不能直接跳過A介面直接進如B介面

JavaScript練習建立留言板釋出留言

技術標籤:JavaScript練習javascript前端 JavaScript練習建立留言板釋出留言 執行結果

js-Array基礎-01slice(start,end) 切片

slice()方法: 返回一個新的陣列物件; 這一物件是一個由begin和end決定的原陣列的淺拷貝(包括begin,不包括end);

K8s任務私有倉庫拉取映象

參考:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/ 登入 Docker 映象倉庫

微服務社交平臺十次方前端01前端環境搭建

〇、學習目標: 瞭解十次方需求、技術架構,理解前後端分離開發模式 掌握Node.js基本使用方法,理解模組化程式設計

精講圖論演算法——查集入門

某個家族人員過於龐大, 要判斷兩個人是否是親戚很不容易。 現在給出某個親戚關係圖,

02-01檔名萬用字元在過濾檔案中的使用

正則表示式元字元的運用 字元匹配: * 作用:匹配任意長度的任意字元 ?作用:匹配任意單個字元

走近Spring為脫離Spring IOC容器管理的Bean賦能依賴注入的能力,分析原理(藉助AutowireCapableBeanFactory賦能)

不可否認的是,把Bean交給Spring管理,確實極其的方便,優點一大把,並且還幾乎沒有啥缺點。這也就是為何咱們一言不合就把Bean扔給Spring的原因。(在Spring的技術棧裡這麼做,完全沒有問題)

Go反射建立物件

前言 最近在寫一個自動配置的庫cfgm,其中序列化和反序列化的過程用到了大量反射,主要部分寫完之後,我在這裡回顧總結一下反射的基本操作。

TPC-DS建立View的SQL如下(Data Maintenance部分)

對應TPC-DS官方文件的部分如下 -- ==================view table,執行的建檢視SQL如下=======================create table if not exists t_crv( cr_returned_date_skbigint, cr_returned_time_skbigint, cr_item