数字证书:

    第三方机构使用一种安全的方式把公钥分发出去

       证书格式:x509,pkcs家族

         x509格式:

           公钥和有效期限:

           持有者的个人合法身份信息;(主机名,域名)

           证书的使用方式

           CA的信息

           CA的数字签名

        谁给CA发证:自签署证书

   用户

    .生成一对密钥

    .把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署)

   CA机构

    .自签证书,生成密钥对

    .签署证书

    .传给用户

    .维护吊销列表(是否过期)

    OpenCA(大规模应用)

用openssl实现私有(自建)CA

配置文件/etc/pki/tls/openssl.cnf

命令:

谁给CA发证:自签署证书



CA服务器端:

    用openssl实现私有CA:

            配置文件:/etc/pki/tls/openssl.cnf
    
     [root@k8s1 CA]#  cd /etc/pki/CA

        生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥:

            # (umask ; openssl genrsa -out private/cakey.pem )

            如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥:

                # openssl rsa -in private/cakey.pem -pubout -text -noout

        生成自签证书:

            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 

        countrCountry Name         国家

        State or Province Name     州或者省的名字

        Locality Name              所在的城市

        Organization Name          所在的公司

        Organizational Unit Name   所在的部门

        Common Name                https访问的地址


    配置文件:/etc/pki/tls/openssl.cnf

自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。

     
        创建需要的文件:
     # cd /etc/pki/CA

        # touch index.txt serial crlnumber

        给签发的客户端编号

        #echo  > serial 

客户端:

    用openssl实现证书申请:

        在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:

            # mkdir /etc/httpd/ssl

            # cd /etc/httpd/ssl

            # (umask ; openssl genrsa -out httpd.key )

        生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则
     CA签署不通过):

            # openssl req -new -key httpd.key -out httpd.csr 
           
        将请求文件发往CA;

       # scp httpd.csr CA服务器端:/tmp/

CA服务器端:
    CA签署证书:

        签署:

            # openssl ca -in /tmp/192.168.20.230.csr  -out /tmp/192.168.20.230.crt -days 

        将证书传回请求者,可以放置到nginx 配置文件下,形成https访问
            #  scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,

    吊销证书:

        # openssl ca -revoke /path/to/somefile.crt

openssl生成证书的更多相关文章

  1. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  2. 使用OpenSSL生成证书

    使用OpenSSL生成证书 下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)1.首先要生成服务器端的私钥(key文件):openssl ...

  3. 如何利用OpenSSL生成证书

    此文已由作者赵斌授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 一.前言 最近为了测试内容分发网络(Content Delivery Network,简称 CDN)添加的新功 ...

  4. [转帖] ./demoCA/newcerts: No such file or directory openssl 生成证书时问题的解决.

    接上面一篇blog 发现openssl 生成server.crt 时有问题. 找了一个网站处理了一下: http://blog.sina.com.cn/s/blog_49f8dc400100tznt. ...

  5. 使用 openssl 生成证书

    一.openssl 简介 目前最流行的 SSL 密码库工具官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 ...

  6. PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解

    一.公钥加密假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个文 ...

  7. openssl 生成证书基本原理

    摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所 ...

  8. centos7 openssl 生成证书给自己使用

    Step1: centos7 系统自己生成证书 给自己签发不安全的域名证书 openssl genrsa - #生成ca根秘钥 是长度 openssl req - -key ca.key -out c ...

  9. [k8s]通过openssl生成证书

    证书认证原理: http://www.cnblogs.com/iiiiher/p/7873737.html [root@m1 ssl]# cat master_ssl.cnf [req] req_ex ...

  10. openssl 生成证书

    nginx生成证书,一共四步 1) 生成RSA私钥 (会要求输入至少4位密码)# openssl genrsa -des3 -out private.key 2048 # 2) 根据已生成的RSA私钥 ...

随机推荐

  1. 南阳nyoj 509 因子和阶乘

    因子和阶乘 时间限制:1000 ms  |  内存限制:65535 KB 难度:2  http://acm.nyist.net/JudgeOnline/problem.php?pid=509 描述 给 ...

  2. KATANA Owin 资料收集

    https://www.cnblogs.com/xishuai/p/asp-net-5-owin-katana.html http://wiki.jikexueyuan.com/project/thi ...

  3. Spring 配置数据源之一三兄弟

    前期的准备工作,我们是使用的是maven,我们下载节点即可... 节点如下: <dependency> <groupId>org.springframework</gro ...

  4. CSS3D动画制作一个3d旋转的筛子

    希望这个demo能让大家理解CSS3的3d空间动画(其实是个假3D) 首先给一个3d的解剖图,x/y/z轴线轴线已经标出 下面附上添加特效的动画旋转 可以根据demo并参考上面解剖图进行理解 < ...

  5. CSS 画一个八卦

    效果图: 实现原理: 设置高度为宽度的2倍的一个框,利用 border 补全另一半的宽度,设置圆角 用两个 div 设置不同的颜色,定位到圆的上下指定位置. 最后只剩下里面的小圆圈了.设个宽高,圆角即 ...

  6. CSS深入理解之absolute(HTML/CSS)

    absolute和float是同父异母的兄弟,因为它们具有相同点:包裹性与破坏性 absolute的特点 1.独立的,并且可以摆脱overflow的限制,无论是滚动还是隐藏: 2.无依赖,不受rela ...

  7. react-ssr

    为什么使用SSR 与传统 SPA(Single-Page Application - 单页应用程序)相比 服务器端渲染(SSR)的优势主要在于: 更好的 SEO,由于搜索引擎爬虫抓取工具可以直接查看完 ...

  8. 只能在堆上生成的对象 VS. 只能在栈上生成的对象

    1. 只能在堆上 即禁止在栈上生成.如何实现? 当对象建立在栈上面时,是由编译器分配内存空间的,调用构造函数来构造栈对象.如果类的析构函数是私有的,则编译器不会在栈空间上为类对象分配内存. 所以,只需 ...

  9. 3 个简单、优秀的 Linux 网络监视器

    作者: Carla Schroder 译者: LCTT geekpi 用 iftop.Nethogs 和 vnstat 了解更多关于你的网络连接. 你可以通过这三个 Linux 网络命令,了解有关你网 ...

  10. linux 创建新用户并增加管理员权限

    1.adduser与useradd有什么区别?2.那种方式会自动创建组.用户组等信息? 3.如何新建用户具有管理员权限? $是普通管员,#是系统管理员,root用户默认是没有密码的,因此也就无法使用( ...