2. 程式人生 > >在Linux系統中實現CA

在Linux系統中實現CA

阿新 發佈:2017-09-10
linux、創建ca

前言

CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。

它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和

公鑰的擁有權。。

CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任

何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。

如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份後,便為他分

配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給申請

者。如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗

證通過,該證書就被認為是有效的


一、CA端

認識CA配置文件:/etc/pki/CA

技術分享

其中,certs表示存儲簽署證書;crl表示證書吊銷列表;private表示私鑰存儲的位置。newcerts我們在

創建密鑰對時,系統會自動生成證書列表,存儲在newcerts目錄下。

1、創建所需文件:

技術分享

其中,index.txt表示生成證書索引數據庫文件;serial表示下一次頒發證書的序列號,01表示頒發證書的

第一個序號為01。

2、CA生成自簽署證書

生成密鑰對:

技術分享

生成自簽證書:

技術分享

其中 -new:表示生成新證書簽署請求;

-x509:表示專用於CA生成自簽證書;

-key:生成新證書簽署請求時用到的私鑰文件;

-days:表示證書的有效期,默認單位:年;

-out:表示生成的簽署證書保存的位置;

我們可以導出該證書到Windows中看看。

技術分享


二、CA-client端

認識CA配置文件:/etc/pki/tls ,該目錄中的文件和/etc/pki/CA中的大體一樣,只是後者是用作給

別人簽署時的文件,前者是存放申請自簽證書請求相關的文件。

1、生成私鑰文件

技術分享

這次我們選擇不加密私鑰文件,去掉了-des3選項

2、生成證書申請文件

技術分享

上述生成證書簽署請求我們可以不指定證書的有效期,因為是CA給你頒發,時間是有CA決定的,所以我

在這裏就沒有寫有效日期;其次,由於不是自簽署證書,所以沒有x509選項

3、將證書簽署請求文件傳輸至CA

技術分享

使用scp命令進行遠程復制時必須要保證兩臺主機都安裝scp服務才可以,有一個沒安裝,復制都將失

敗。scp服務所在的包為openssh包,使用yum -y install openssh-client安裝,如果沒有配置yum倉

庫,請閱讀博客:http://vinsent.blog.51cto.com/13116656/1962172


三、CA簽署證書並發送給CA-client

之前將CA-client的證書申請傳送給了CA,接下來CA便要簽署該證書,給他蓋個戳。

技術分享

請仔細閱讀證書中的內容,重點地方都標記出來了,如果沒有問題那麽CA-client的證書請求將簽署

成功。你可以查看文件index.txt來查看其信息:

技術分享

復制該證書至CA-client

[ [email protected] CA ]#scp certs/app.crt 172.18.252.50:/etc/pki/tls/certs


四、吊銷證書

證書信息存儲在index.txt文件中,我們要想吊銷其中的證書,首先需要創建吊銷列表的編號:

echo 01 > /etc/pki/CA/crlnumber。然後使用openssl命令在加上證書(該證書存儲在/etc/pki/CA

/newcerts/01.pem)來吊銷列表。例如:openssl ca revoke /etc/pki/CA/nercerts/01.pem

但是,我們光吊銷了證書還不行,必須發布到CRL中才可,告知其他用戶,該證書已經失效。使用命令

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem 更新吊銷列表。你可以將該文件導出至Windows中

查看其吊銷列表。


五、補充

假如你還想給另外的服務申請證書,由於之前生成過密鑰對,那麽你直接生成申請證書即可,

[ [email protected] tls ]#openssl req -new -key private/app.key -out app2.csr;然後重復上述步驟,

在簽署一遍即可。在提供給大家幾個查看證書信息的命令:

openssl x509 -in /etc/pki/CA/crts/app.crt -noout -text|issuer|subject|serial|dates

如果你還有一個主機,你想用上述的CA-client繼續為其他主機簽署證書,大體步驟與上述流程一

致,不過值得註意的是:你在生成證書subca.csr的時候不在是自己簽署(即沒有x509選項),你需要根

CA為你簽署。

到此我們就完成CA證書的簽署、當然了這只是實現CA的創建與簽署,並沒有加以使用,如果你有

相關的服務,例如:http。謝謝閱讀~


本文出自 “vinsent” 博客,轉載請與作者聯系!

在Linux系統中實現CA

相關推薦

Linux系統實現CA

linux、創建ca前言 CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。。 CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通

Linux系統實現RAID卷詳解

   在Linux系統中做RAID,磁碟陣列的裝置可以是一塊磁碟中的三個以上的分割槽,也可以是三塊或以上的磁碟。本文主要以幾塊磁碟為例,來實現在RAID5。實驗環境:    系統中有一塊磁碟sda,新新增6塊SCSI磁碟,分別為sdb,sdc,sdd,sde,sdf,sdg

老男孩教育每日一題-2017年5月12日-磁盤知識點:linux系統LVM配置實現方法?

邏輯卷管理 磁盤 每日一題 1.題目老男孩教育每日一題-2017年5月12日-磁盤知識點:linux系統中LVM配置實現方法?2.參考答案01:將一個或多個物理分區創建為一個PV# pvcreate /dev/sdb{1,2} Physical volume "/dev/sdb1" success

Linux系統使用lftp命令實現FTP上傳下載

lcd 工作 亂碼問題 pwd -- cd 命令 史記 size ls 命令 Linux 下常用的操作命令有 ftp、 lftp 和 sftp,圖形化界面非常好用的有 FileZilla。不過在服務器命令界面中,lftp使用比較方便,功能也比ftp更加強大。lftp的界面

Linux系統實現LVM邏輯卷管理及磁盤配額

Linux LVM邏輯卷 磁盤管理配額 LVM(Logical Volume Manager)是Linux系統中對磁盤分區進行管理的一種邏輯機制,他是建立在磁盤和分區之上的一個邏輯層,能夠在保持現有數據不變的情況下動態調整磁盤容量,從而提高磁盤管理的靈活性。 1. 執行命令 fdisk -l 來查

MAC訪問控制機制在Linux系統實現:SELinux

SELinuxSELinux全稱:Security-Enhanced Linux,安全加強的Linux;SELinux系統的本來名稱為MAC:強制訪問控制;SELinux就是MAC訪問控制機制在Linux系統中的實現; 操作系統安全等級標準(橙皮書): D級別(最低安全級別) C級別:C1,

如何在Linux系統以Shell實現飛行字的效果?

大家肯定見過WEB頁面上飛行字的效果,但是在Linux系統中,特別是bash命令列模式下,如何實現echo出來的字串以飛行的特效展現出來呢? 這個特效不見得實用,但偶爾拿來自娛自樂或炫耀一番倒是個不錯的方法,呵呵,下面以一段Shell Script程式碼來給大家講解如何實現…… #!/bin/b

Linux系統採用Atlas+Keepalived實現MySQL讀寫分離、負載均衡

========================================================================================== 一、基礎介紹 ========================================================

linux系統定時任務

linu tab 一次 腳本 lin edi 路徑 執行 表示 1、查看所有定時任務:命令:“crontab -l” 數字意思解釋如下:從左到右,依次是:分、時、日、月、星期。 2、編輯定時執行計劃:命令:"crontab -e" ,e表示edit修改的意思。 3、修

Linux 系統這樣修復 SambaCry 漏洞

windows 服務器 解決方案 linux 非官方 導讀Samba 很久以來一直是為 linux 系統上的 Windows 客戶端提供共享文件和打印服務的標準。家庭用戶,中型企業和大型公司都在使用它,它作為最佳解決方案在多種操作系統共存的環境中脫穎而出,由於廣泛使用的工具很可能發生這種情

linux 系統的 /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin 目錄的區別

。。 process pre this 用戶 unix table mount sent 先來段英文的: /bin This directory contains executable programs which are needed in single user

Linux 系統安裝Mysql_5.6

上傳 粘貼 啟動mysql grant ont linu chm cli char Linux 系統中安裝Mysql_5.6 安裝包下載地址(http://pan.baidu.com/s/1o8G5q

Linux系統安裝vmTools

cdr cdrom linu 是否 壓縮 進入 span pan tin 以下是,會用到的命令、遇到的問題及解釋: 在虛擬機中安裝centOS系統,因為後續安裝服務或者其他的東西,因此需要安裝vmTools,方便將文件從宿主電腦拖進虛擬機內。(我的是tar壓縮包的vmToo

Linux系統有關/dev/null和/dev/zero文件說明及實踐

linux /dev/null 特殊文件 /dev/zero Linux系統中有關/dev/null和/dev/zero文件說明提示:這個題目完全可以作為一個面試題考考運維的應聘者:面試題:請解釋Linux中/dev/null和/dev/zero兩個文件的作用和區別。在類Unix操作系統中,

運維學習之Linux系統的文件傳輸、歸檔、壓縮

linux不同系統之間的文件傳輸1.文件歸檔1.文件歸檔,就是把多個文件變成一個歸檔文件2.tar c ##創建 f ##指定歸檔文件名稱 t ##顯示歸檔文件中的內容 r ##向歸檔文件中添加文件 --get ##取出單個文件 --delete ##刪除單個文件 x ##取出歸檔文件中的所有內容

Linux系統如何查看日誌信息

日誌文件 系統日誌 楊書凡 日誌文件是用於記錄Linux系統中各種運行消息的文件,不同的日誌文件記載了不同類型的信息,對於診斷和解決系統中的問題很有幫助分析日誌文件 日誌數據主要包括三種類型:內核及系統日誌、用戶日誌、程序日誌 #對於大多數的文本格式的日誌文件,使用tail、more、l

Linux系統修改/etc/profile文件的方法

linux在Linux系統中etc/profile文件一般是不能更改的,想要更改etc/profile文件就要用一些特殊的技巧進行Linux文件修改。本文就來介紹一下Linux系統中修改/etc/profile文件的方法:etc/profile文件是只讀的,直接用vi或gedit打開修改後是無法保存的。要修改

Session 在分布式系統實現方式

同步問題 data- 操作 add cti ddc 技術 article sql數據庫 ##server獨立Session 例如以下圖所看到的: server獨立Session要求用戶的每次請求都必須在同一臺應用server上面操作,這就要求負載均衡

Linux系統svn服務器設置開機啟動

數據庫 檢查 reat version 打開端口 rest grep 建立 標簽 安裝完svn服務器後雖然好用但是因為經常重啟Linux服務器,每次重啟完就要去手動啟動svn服務器,很是麻煩,於是在網上找了一些方法後,自己把svn服務器設置成開機啟動 步驟一:安裝svn服務

Linux系統終端的入口

配置 bash 需求:登陸通過SSH登陸Linux主機,主機只能執行特定腳本或程序,如何約束?首先配置/etc/bash.bashrc 該文件每次打開新的shell都會執行該文件;添加執行腳本或程序路徑到bash.bashrc文件;對於腳本或程序,不能有退出程序的語句,異常情況下也要保持在腳本或程序裏