溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

使用OpenSSL構(gòu)建私有CA

發(fā)布時(shí)間:2020-07-26 04:21:44 來源:網(wǎng)絡(luò) 閱讀:629 作者:下善若火 欄目:安全技術(shù)

一、什么是CA

    CA就像工商局,CA證書就是給商戶頒發(fā)的經(jīng)營(yíng)許可證,是互聯(lián)網(wǎng)上頒發(fā)給各個(gè)站點(diǎn)的身份認(rèn)證牌照。例如,我們輸入www.xxx.com后出現(xiàn)的網(wǎng)站,我們?cè)趺粗浪遣皇前踩模吭趺粗浪褪俏覀円卿浀木W(wǎng)站呢?如果它有CA證書,并且我們電腦里存了它的證書,那么就可以判斷它是安全可靠的。


二、CA證書里有哪些內(nèi)容?

    x509標(biāo)準(zhǔn)定義了CA證書的內(nèi)容,以下是三個(gè)版本的比較

   使用OpenSSL構(gòu)建私有CA


三、如何獲取CA證書

    既然CA證書對(duì)于網(wǎng)上公共節(jié)點(diǎn)這么重要,那么怎么獲得它呢?

    要獲得CA證書像CA注冊(cè)機(jī)構(gòu)申請(qǐng)就可以了,但是要花錢,一年也沒多少錢,普通用戶不需要CA,只有     那些需要得到網(wǎng)絡(luò)社會(huì)認(rèn)可的網(wǎng)站,站點(diǎn)、平臺(tái)才需要CA認(rèn)證。

    但是有沒有不花錢的免費(fèi)CA呢?

    我們可以自己創(chuàng)建一個(gè)CA,然后自己給自己頒發(fā)證書。但是這樣做有什么意義呢?對(duì)于小公司和普通     用戶來說當(dāng)然沒多大意義了,但是有牛逼的公司就敢這么干,例如壟斷企業(yè),他自己給自己頒發(fā)證     書,你信也好不信也好,反正它壟斷了資源,你不信也沒辦法。

    例如 12306,我們打開它的時(shí)候提示證書不受信任對(duì)不對(duì)?它就是自己給自己頒發(fā)了證書,它說:“你愛信不信,反正沒有第二家賣火車票的網(wǎng)站了”


四、學(xué)習(xí)12306建立自己的CA

    在linux中我們要使用OpenSSL安裝包來實(shí)現(xiàn)建立私有CA

    步驟:

    1.生成私有密鑰

          私鑰用于簽發(fā)證書時(shí),向證書添加數(shù)字簽名時(shí)使用

    2.生成自簽署證書

          每個(gè)通信方都導(dǎo)入此證書至“受信任的證書頒發(fā)機(jī)構(gòu)”

    3.配置文件

      /etc/pki/tls/openssl.cnf

使用OpenSSL構(gòu)建私有CA

    4.工作目錄

      /etc/pki/CA/

使用OpenSSL構(gòu)建私有CA 

五、建立CA詳細(xì)步驟

    1、生成私有密鑰到/etc/pki/CA/private

    使用OpenSSL構(gòu)建私有CA

    2、生成自簽證書到/etc/pki/CA/

      假如我們的公司在中國(guó)鄭州叫alibaba,公司的號(hào)碼123456,網(wǎng)站叫www.alibaba.com,郵箱是wuhf123@126.com

使用OpenSSL構(gòu)建私有CA   

    3、提供必要的輔助文件以便將來別人向我申請(qǐng)證書時(shí)或撤銷證書時(shí),我可以自動(dòng)記錄他們的信息

       (1)在/etc/pki/CA/下創(chuàng)建index.txt文件

使用OpenSSL構(gòu)建私有CA      

        (2)創(chuàng)建/etc/pki/CA/serial文件,并向其內(nèi)添加一個(gè)開始序號(hào)

使用OpenSSL構(gòu)建私有CA

六、向CA申請(qǐng)證書

    假如我們的公司叫wuhfnet,網(wǎng)站叫www.wuhfnet.com

    1.生成自己的私鑰

    使用OpenSSL構(gòu)建私有CA

    2.生成證書簽署請(qǐng)求文件

     openssl req -new -key .. -out .. -days ..

     證書簽署請(qǐng)求里面的選項(xiàng)除了common name一項(xiàng)填寫自己的網(wǎng)站外,其余的必須與CA簽發(fā)機(jī)構(gòu)一致

使用OpenSSL構(gòu)建私有CA

    3.把請(qǐng)求文件發(fā)送給CA

     用優(yōu)盤拷過去或者郵件發(fā)過去,就像你送《工商許可能申請(qǐng)》到工商局一樣。


七、CA簽發(fā)證書

    1.驗(yàn)證請(qǐng)求者身份信息

      就像工商局接到申請(qǐng),然后去你公司審查你的資格一樣

    2.簽署證書

   openssl ca -in .. -out .. -days ..使用OpenSSL構(gòu)建私有CA

    3.把簽好的證書發(fā)還給請(qǐng)求者



八、吊銷證書

    1、獲取吊銷證書的序列號(hào)

 使用OpenSSL構(gòu)建私有CA   

    2、吊銷證書

    openssl ca -revoke /PATH/FROM/CRT-FILE

使用OpenSSL構(gòu)建私有CA  

    3、生成吊銷編號(hào)

    echo 01 > /etc/pki/CA/crlnumber

使用OpenSSL構(gòu)建私有CA



向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI