溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)

發(fā)布時間:2021-12-23 17:19:44 來源:億速云 閱讀:243 作者:iii 欄目:大數(shù)據(jù)

這篇文章主要介紹“在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)”,在日常操作中,相信很多人在在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!

具體內(nèi)容

在Linux系統(tǒng)里面已經(jīng)集成了OpenSSL組件,但是考慮到本次生成的操作的步驟異常的復(fù)雜,所以強烈建議搭建拷貝我給出完整的配置。整個生成完畢之后還需要將證書轉(zhuǎn)換為 Java 可以使用的證書格式,而后才可以在 Tomcat 中進(jìn)行配置。本次的開發(fā)為了方便的進(jìn)行證書的下載,直接將所有的證書就生成在 ftp 指定的目錄下(/srv/ftp)為了方便保存,建立一個保存所有證書的文件夾:mkdir -p /srv/ftp/cas

2.1、簽發(fā)根證書

在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)

本次生成的證書為根證書,那么將根證書保存在“/srv/ftp/cas”目錄之中

1、 生成 CA 密鑰對:

openssl genrsa -out /srv/ftp/cas/cakey.pem 2048 RSA

生成一個使用 RSA 編碼的的密鑰信息,而后生成的文件保存到“/srv/ftp/cas/cakey.pem”該密鑰對的長度為 2048 個字節(jié)。

2、 生成根證書的簽發(fā)申請:

openssl req -new -key /srv/ftp/cas/cakey.pem -out /srv/ftp/cas/cacert.csr -subj /CN=cas.com

在證書訪問的時候必須以域名的形式出現(xiàn)(不要使用 ip),這個域名應(yīng)該是你自己的?,F(xiàn)在如果要進(jìn)行本機的模擬,那么需要通過 windows 下的 hosts 進(jìn)行修改。

3、 生成根證書的簽發(fā)申請:

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey /srv/ftp/cas/cakey.pem -in /srv/ftp/cas/cacert.csr -out /srv/ftp/cas/ca.cer

此簽發(fā)證書的有效時間為 10 年。

2.2、簽發(fā)服務(wù)器端證書

在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)

為了與根證書的保存區(qū)分,建議建立一個目錄:mkdir -p /srv/ftp/cas/server;

1、 生成服務(wù)器私鑰:

openssl genrsa -aes256 -out /srv/ftp/cas/server/server-key.pem 2048

服務(wù)器端生成私鑰的時候需要設(shè)置一個密碼,密碼為:mldnjava;

2、 生成服務(wù)器端證書的簽發(fā)申請,創(chuàng)建的時候依然需要輸入之前的密碼:

openssl req -new -key /srv/ftp/cas/server/server-key.pem -out /srv/ftp/cas/server/server.csr -subj /CN=cas.com

3、 生成服務(wù)器端證書的簽發(fā)申請,有效期為 10 年:

openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA /srv/ftp/cas/ca.cer -CAkey /srv/ftp/cas/cakey.pem -CAserial /srv/ftp/cas/server/ca.srl -CAcreateserial -in /srv/ftp/cas/server/server.csr -out /srv/ftp/cas/server/server.cer

此時有了服務(wù)器端的證書之后才可以創(chuàng)建客戶端證書。

2.3、簽發(fā)客戶端證書

在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)建立一個目錄保存客戶端證書信息:mkdir -p /srv/ftp/cas/client;

1、 生成客戶端私鑰:

openssl genrsa -aes256 -out /srv/ftp/cas/client/client-key.pem 2048

生成的時候輸入密碼:mldnjava;

2、 生成客戶端的證書申請:

openssl req -new -key /srv/ftp/cas/client/client-key.pem -out /srv/ftp/cas/client/client.csr -subj /CN=cas.com

3、 生成客戶端的簽發(fā)證書:

openssl x509 -req -days 365 -sha1 -CA /srv/ftp/cas/ca.cer -CAkey /srv/ftp/cas/cakey.pem -CAserial /srv/ftp/cas/server/ca.srl -in /srv/ftp/cas/client/client.csr -out /srv/ftp/cas/client/client.cer

此時最需要注意的是,該證書只針對于“cas.com”有效。

2.4、生成 Java 證書

現(xiàn)在使用了 OpenSSL 生成的數(shù)字證書和私鑰,如果要想在 java 的環(huán)境下使用,需要將其轉(zhuǎn)換為“PKCS#12”的編碼格式密鑰文件才可以被 Java 的 keytool 工具所管理

在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)

前提:此時 java 端的證書由于需要在 tomcat 上使用,那么最終的證書建議在 Tomcat 的目錄中保存,而 Tomcat 的路徑為“/usr/local/tomcat”。

1、 生成客戶端證書:

openssl pkcs12 -export -clcerts -name cas-client -inkey /srv/ftp/cas/client/client-key.pem -in /srv/ftp/cas/client/client.cer -out /srv/ftp/cas/client/client.p12

客戶端的證書隨后是需要發(fā)給客戶端瀏覽器的。

2、 生成服務(wù)器端證書,主要由 Tomcat 使用;

openssl pkcs12 -export -clcerts -name cas-server -inkey /srv/ftp/cas/server/server-key.pem -in /srv/ftp/cas/server/server.cer -out /srv/ftp/cas/server/server.p12

3、 將現(xiàn)在生成的服務(wù)器端證書導(dǎo)入到本機的受信認(rèn)證證書

keytool -importcert -trustcacerts -alias cas.com -file /srv/ftp/cas/ca.cer -keystore /usr/local/tomcat/ca-trust.p12

那么此時 JDK 就表示當(dāng)前要使用的證書已經(jīng)得到了認(rèn)可。

4、 查看所有的證書信息:

keytool -list -keystore /srv/ftp/cas/client/client.p12 -storetype pkcs12 -v

隨后還需要在客戶端進(jìn)行證書的配置。

到此,關(guān)于“在Linux系統(tǒng)怎么實現(xiàn)證書簽發(fā)”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI