数字证书:

    第三方机构使用一种安全的方式把公钥分发出去

       证书格式:x509,pkcs家族

         x509格式:

           公钥和有效期限:

           持有者的个人合法身份信息;(主机名,域名)

           证书的使用方式

           CA的信息

           CA的数字签名

        谁给CA发证:自签署证书

   用户

    .生成一对密钥

    .把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署)

   CA机构

    .自签证书,生成密钥对

    .签署证书

    .传给用户

    .维护吊销列表(是否过期)

    OpenCA(大规模应用)

用openssl实现私有(自建)CA

配置文件/etc/pki/tls/openssl.cnf

命令:

谁给CA发证:自签署证书



CA服务器端:

    用openssl实现私有CA:

            配置文件:/etc/pki/tls/openssl.cnf
    
     [root@k8s1 CA]#  cd /etc/pki/CA

        生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥:

            # (umask ; openssl genrsa -out private/cakey.pem )

            如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥:

                # openssl rsa -in private/cakey.pem -pubout -text -noout

        生成自签证书:

            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 

        countrCountry Name         国家

        State or Province Name     州或者省的名字

        Locality Name              所在的城市

        Organization Name          所在的公司

        Organizational Unit Name   所在的部门

        Common Name                https访问的地址


    配置文件:/etc/pki/tls/openssl.cnf

自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。

     
        创建需要的文件:
     # cd /etc/pki/CA

        # touch index.txt serial crlnumber

        给签发的客户端编号

        #echo  > serial 

客户端:

    用openssl实现证书申请:

        在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:

            # mkdir /etc/httpd/ssl

            # cd /etc/httpd/ssl

            # (umask ; openssl genrsa -out httpd.key )

        生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则
     CA签署不通过):

            # openssl req -new -key httpd.key -out httpd.csr 
           
        将请求文件发往CA;

       # scp httpd.csr CA服务器端:/tmp/

CA服务器端:
    CA签署证书:

        签署:

            # openssl ca -in /tmp/192.168.20.230.csr  -out /tmp/192.168.20.230.crt -days 

        将证书传回请求者,可以放置到nginx 配置文件下,形成https访问
            #  scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,

    吊销证书:

        # openssl ca -revoke /path/to/somefile.crt

openssl生成证书的更多相关文章

  1. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  2. 使用OpenSSL生成证书

    使用OpenSSL生成证书 下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)1.首先要生成服务器端的私钥(key文件):openssl ...

  3. 如何利用OpenSSL生成证书

    此文已由作者赵斌授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 一.前言 最近为了测试内容分发网络(Content Delivery Network,简称 CDN)添加的新功 ...

  4. [转帖] ./demoCA/newcerts: No such file or directory openssl 生成证书时问题的解决.

    接上面一篇blog 发现openssl 生成server.crt 时有问题. 找了一个网站处理了一下: http://blog.sina.com.cn/s/blog_49f8dc400100tznt. ...

  5. 使用 openssl 生成证书

    一.openssl 简介 目前最流行的 SSL 密码库工具官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 ...

  6. PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解

    一.公钥加密假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个文 ...

  7. openssl 生成证书基本原理

    摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所 ...

  8. centos7 openssl 生成证书给自己使用

    Step1: centos7 系统自己生成证书 给自己签发不安全的域名证书 openssl genrsa - #生成ca根秘钥 是长度 openssl req - -key ca.key -out c ...

  9. [k8s]通过openssl生成证书

    证书认证原理: http://www.cnblogs.com/iiiiher/p/7873737.html [root@m1 ssl]# cat master_ssl.cnf [req] req_ex ...

  10. openssl 生成证书

    nginx生成证书,一共四步 1) 生成RSA私钥 (会要求输入至少4位密码)# openssl genrsa -des3 -out private.key 2048 # 2) 根据已生成的RSA私钥 ...

随机推荐

  1. vue setTimeout--延迟操作

    有时候我们在查询后要做某些事情,例如我查询的时候要根据某个值再去查询某些东西并和这些值一起显示的时候,我们可以对渲染数据的操作进行延迟,因为代码执行的速度是很快的而访问数据的操作相对于渲染的速度慢得多 ...

  2. 山东第四届省赛: Boring Counting 线段树

    http://acm.sdibt.edu.cn/JudgeOnline/problem.php?id=3237 Problem H:Boring Counting Time Limit: 3 Sec  ...

  3. Highchar.js插件提示框千分位显示为空格而不是逗号 --(2018 08/06-08/12周总结)

    1.Oracle在已经存在主键的表中插入复合主键的SQL语句 如已有一个表test_key,其中a1列为主键. CREATE TABLE TEST_KEY( A1 VARCHAR2(3) NOT NU ...

  4. Js如何调用本地应用程序

    一般情况下,浏览器中是无法直接和本机的其他的程序进行交互的,在IE中,我们可以通过ActiveX对象的方式进行.但是这个方式只适用于IE浏览器,另一种比较通用的方式便是URL协议的方式,我们将某种UR ...

  5. 润乾在jetty应用服务器下的JNDI配置一

     一. 此处绑定的数据源是以 DBCP 为实现.首先必须将数据库驱动(这里用了MYSQL数据库)和DBCP所需要的 Jar 包复制到 Jetty 根目录的 lib 目录下.DBCP主要需要以下3个 ...

  6. 2Exception in thread "main" java.lang.OutOfMemoryError: Java heap space

    public class TestException { public static void main(String[] args) { String str = "1"; fo ...

  7. 0java之泛型解说

    1.集合中只能装入引用数据类型,不能装入基本数据类型.如,装入int类型的数值123会自动装箱. 2.开发人员装入集合的数据类型不确定,所以它被设计成可以装入所有的Object. 3.新的问题产生,装 ...

  8. Selenium clear()方法无法清掉数据

    问题描述 clear()方法执行过后, 数据还是在. 根本原因 存在镜像节点. 操作clear()清掉数据后, 镜像节点的数据还在, 就会再补充回去. 解决办法 添加下面代码就可以连同镜像的数据一起去 ...

  9. MySQL的前缀索引及Oracle的类似实现

    MySQL有一个很有意思的索引类型,叫做前缀索引,它可以给某个文本字段的前面部分单独做索引,从而降低索引的大小. 其实,Oracle也有类似的实现,对于文本,它可以通过substr的函数索引,实现同样 ...

  10. mysql-5.7 持久化统计信息详解

    一.持久化统计信息的意义: 统计信息用于指导mysql生成执行计划,执行计划的准确与否直接影响到SQL的执行效率:如果mysql一重启 之前的统计信息就没有了,那么当SQL语句来临时,那么mysql就 ...