数字证书:

    第三方机构使用一种安全的方式把公钥分发出去

       证书格式:x509,pkcs家族

         x509格式:

           公钥和有效期限:

           持有者的个人合法身份信息;(主机名,域名)

           证书的使用方式

           CA的信息

           CA的数字签名

        谁给CA发证:自签署证书

   用户

    .生成一对密钥

    .把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署)

   CA机构

    .自签证书,生成密钥对

    .签署证书

    .传给用户

    .维护吊销列表(是否过期)

    OpenCA(大规模应用)

用openssl实现私有(自建)CA

配置文件/etc/pki/tls/openssl.cnf

命令:

谁给CA发证:自签署证书



CA服务器端:

    用openssl实现私有CA:

            配置文件:/etc/pki/tls/openssl.cnf
    
     [root@k8s1 CA]#  cd /etc/pki/CA

        生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥:

            # (umask ; openssl genrsa -out private/cakey.pem )

            如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥:

                # openssl rsa -in private/cakey.pem -pubout -text -noout

        生成自签证书:

            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 

        countrCountry Name         国家

        State or Province Name     州或者省的名字

        Locality Name              所在的城市

        Organization Name          所在的公司

        Organizational Unit Name   所在的部门

        Common Name                https访问的地址


    配置文件:/etc/pki/tls/openssl.cnf

自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。

     
        创建需要的文件:
     # cd /etc/pki/CA

        # touch index.txt serial crlnumber

        给签发的客户端编号

        #echo  > serial 

客户端:

    用openssl实现证书申请:

        在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:

            # mkdir /etc/httpd/ssl

            # cd /etc/httpd/ssl

            # (umask ; openssl genrsa -out httpd.key )

        生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则
     CA签署不通过):

            # openssl req -new -key httpd.key -out httpd.csr 
           
        将请求文件发往CA;

       # scp httpd.csr CA服务器端:/tmp/

CA服务器端:
    CA签署证书:

        签署:

            # openssl ca -in /tmp/192.168.20.230.csr  -out /tmp/192.168.20.230.crt -days 

        将证书传回请求者,可以放置到nginx 配置文件下,形成https访问
            #  scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,

    吊销证书:

        # openssl ca -revoke /path/to/somefile.crt

openssl生成证书的更多相关文章

  1. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  2. 使用OpenSSL生成证书

    使用OpenSSL生成证书 下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)1.首先要生成服务器端的私钥(key文件):openssl ...

  3. 如何利用OpenSSL生成证书

    此文已由作者赵斌授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 一.前言 最近为了测试内容分发网络(Content Delivery Network,简称 CDN)添加的新功 ...

  4. [转帖] ./demoCA/newcerts: No such file or directory openssl 生成证书时问题的解决.

    接上面一篇blog 发现openssl 生成server.crt 时有问题. 找了一个网站处理了一下: http://blog.sina.com.cn/s/blog_49f8dc400100tznt. ...

  5. 使用 openssl 生成证书

    一.openssl 简介 目前最流行的 SSL 密码库工具官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 ...

  6. PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解

    一.公钥加密假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个文 ...

  7. openssl 生成证书基本原理

    摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所 ...

  8. centos7 openssl 生成证书给自己使用

    Step1: centos7 系统自己生成证书 给自己签发不安全的域名证书 openssl genrsa - #生成ca根秘钥 是长度 openssl req - -key ca.key -out c ...

  9. [k8s]通过openssl生成证书

    证书认证原理: http://www.cnblogs.com/iiiiher/p/7873737.html [root@m1 ssl]# cat master_ssl.cnf [req] req_ex ...

  10. openssl 生成证书

    nginx生成证书,一共四步 1) 生成RSA私钥 (会要求输入至少4位密码)# openssl genrsa -des3 -out private.key 2048 # 2) 根据已生成的RSA私钥 ...

随机推荐

  1. Linux下的mysql默认大小写敏感

    在Linux下: 1.数据库名与表名是严格区分大小写的: 2.表的别名是严格区分大小写的: 3.列名与列的别名在所有的情况下均是忽略大小写的: 4.变量名也是严格区分大小写的: 在Windows下: ...

  2. springboot +element-axios跨域请求

    1.初始化element项目 1.1:vue init webpage '项目名称' 1.2:npm i element-ui -S 1.3:在main.js添加 import ElementUI f ...

  3. Spring Security 安全框架

    一 简介:Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spr ...

  4. CSS starts

    I have not written any articles here since I graduated from my university. Now I begin to write down ...

  5. java遍历HashMap的高效方法

    https://stackoverflow.com/questions/46898/how-do-i-efficiently-iterate-over-each-entry-in-a-java-map

  6. 关于pycharm 打不开某些文件夹和文件打不开的问题

    在使用pycharm的时候遇到了一个情况, 下载了一个文件,自己修改了文件夹名称后再打开文件夹里的py文件, 打不开了,pycharm没有反应, 百度了一下,没有类似的问题,觉得应该是个个例... 然 ...

  7. app判断链接参数后缀跳转不同地址

    http://testhf.irongbei.com/DoubleAct/index?from=app <?php $urlp = (isset($_GET['from']) && ...

  8. 项目小结:手机邮箱正则,URL各种判断返回页面,input输入框输入符合却获取不到问题

    1.手机邮箱正则 近两年出来很多新号码,听说199什么的都有了- -导致以前的正则不能用了....这就很难过,总是过一段时间出一种新号码.因此,我决定使用返朴归真的手机正则. 手机正则:var reg ...

  9. Unable to load script from assets 'index.android.bundle' 出错?

    野路子太多,坑人真的!F**k 言归正传,当你运行 react native 程序的时候出现这个错误 ,如果您使用Windows,请按以下方式运行命令,或者如果出现错误“无法找到条目文件index.a ...

  10. How to work with the snap environment

    How to work with the snap environment SummaryThe snap environment manages snap agents and snap toler ...