数字证书:

    第三方机构使用一种安全的方式把公钥分发出去

       证书格式:x509,pkcs家族

         x509格式:

           公钥和有效期限:

           持有者的个人合法身份信息;(主机名,域名)

           证书的使用方式

           CA的信息

           CA的数字签名

        谁给CA发证:自签署证书

   用户

    .生成一对密钥

    .把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署)

   CA机构

    .自签证书,生成密钥对

    .签署证书

    .传给用户

    .维护吊销列表(是否过期)

    OpenCA(大规模应用)

用openssl实现私有(自建)CA

配置文件/etc/pki/tls/openssl.cnf

命令:

谁给CA发证:自签署证书



CA服务器端:

    用openssl实现私有CA:

            配置文件:/etc/pki/tls/openssl.cnf
    
     [root@k8s1 CA]#  cd /etc/pki/CA

        生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥:

            # (umask ; openssl genrsa -out private/cakey.pem )

            如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥:

                # openssl rsa -in private/cakey.pem -pubout -text -noout

        生成自签证书:

            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 

        countrCountry Name         国家

        State or Province Name     州或者省的名字

        Locality Name              所在的城市

        Organization Name          所在的公司

        Organizational Unit Name   所在的部门

        Common Name                https访问的地址


    配置文件:/etc/pki/tls/openssl.cnf

自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。

     
        创建需要的文件:
     # cd /etc/pki/CA

        # touch index.txt serial crlnumber

        给签发的客户端编号

        #echo  > serial 

客户端:

    用openssl实现证书申请:

        在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:

            # mkdir /etc/httpd/ssl

            # cd /etc/httpd/ssl

            # (umask ; openssl genrsa -out httpd.key )

        生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则
     CA签署不通过):

            # openssl req -new -key httpd.key -out httpd.csr 
           
        将请求文件发往CA;

       # scp httpd.csr CA服务器端:/tmp/

CA服务器端:
    CA签署证书:

        签署:

            # openssl ca -in /tmp/192.168.20.230.csr  -out /tmp/192.168.20.230.crt -days 

        将证书传回请求者,可以放置到nginx 配置文件下,形成https访问
            #  scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,

    吊销证书:

        # openssl ca -revoke /path/to/somefile.crt

openssl生成证书的更多相关文章

  1. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  2. 使用OpenSSL生成证书

    使用OpenSSL生成证书 下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)1.首先要生成服务器端的私钥(key文件):openssl ...

  3. 如何利用OpenSSL生成证书

    此文已由作者赵斌授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 一.前言 最近为了测试内容分发网络(Content Delivery Network,简称 CDN)添加的新功 ...

  4. [转帖] ./demoCA/newcerts: No such file or directory openssl 生成证书时问题的解决.

    接上面一篇blog 发现openssl 生成server.crt 时有问题. 找了一个网站处理了一下: http://blog.sina.com.cn/s/blog_49f8dc400100tznt. ...

  5. 使用 openssl 生成证书

    一.openssl 简介 目前最流行的 SSL 密码库工具官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 ...

  6. PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解

    一.公钥加密假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个文 ...

  7. openssl 生成证书基本原理

    摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所 ...

  8. centos7 openssl 生成证书给自己使用

    Step1: centos7 系统自己生成证书 给自己签发不安全的域名证书 openssl genrsa - #生成ca根秘钥 是长度 openssl req - -key ca.key -out c ...

  9. [k8s]通过openssl生成证书

    证书认证原理: http://www.cnblogs.com/iiiiher/p/7873737.html [root@m1 ssl]# cat master_ssl.cnf [req] req_ex ...

  10. openssl 生成证书

    nginx生成证书,一共四步 1) 生成RSA私钥 (会要求输入至少4位密码)# openssl genrsa -des3 -out private.key 2048 # 2) 根据已生成的RSA私钥 ...

随机推荐

  1. Storm框架:如何消费RabbitMq消息(代码案例)

    1.定义拓扑topology public class MessageTopology { public static void main(String[] args) throws Exceptio ...

  2. django(六):view和cbv

    FBV即以函数的形式实现视图函数,CBV即以类的形式实现视图函数:相比而言,CBV根据请求方式书写各自的代码逻辑,结构清晰明了,但是由于多了一层反射机制,性能要差一些:FBV执行效率要高一些,但是代码 ...

  3. sql or语法

    1.mysql中or语法的使用,在mysql语法中or使用注意点. 项目遇到坑,遍历发放奖励数据查询错误!!! $sql = 'SELECT * FROM `vvt_spread_doubleegg_ ...

  4. Wannafly挑战赛9 E - 组一组

    链接:https://www.nowcoder.net/acm/contest/71/E来源:牛客网 题目描述 有一个长为 n 的数列 A,其中有 m 个限制条件,条件有两种: 1.对于区间 [l,r ...

  5. linux erlang环境安装

    1.安装环境:yum -y install make gcc gcc-c++ kernel-devel m4 glibc-devel autoconfyum -y install ncurses-de ...

  6. ORACLE数据泵还原(IMPDP命令)

    Oracle数据库还原IMPDP命令是相对于EXPDP命令的,方向是反向的.即对于数据库备份进行还原操作.一.知晓IMPDP命令 C:\>impdp -help Import: Release ...

  7. oracle数据泵备份(Expdp命令)

    Oracle备份方式主要分为数据泵导出备份.热备份与冷备份三种,今天首先来实践一下数据泵备份与还原.数据泵导出/导入属于逻辑备份,热备份与冷备份都属于物理备份.oracle10g开始推出了数据泵(ex ...

  8. HBase Compaction详解

    HBase Compaction策略 RegionServer这种类LSM存储引擎需要不断的进行Compaction来减少磁盘上数据文件的个数和删除无用的数据从而保证读性能. RegionServer ...

  9. Android笔记:解决 Your project contains error(s),please fix them before running your application问题

    解决 Your project contains error(s),please fix them before running your application问题 貌似好多人都有遇到这问题,而且网 ...

  10. Oracle EBS 应收API只创建收款没有核销行以及消息堆栈

    只创建了收款但没有创建核销行 排除其他原因 有可能是缓存溢出导致的这个要改成true 且使用消息堆栈处理