国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

https證書互信解決方案—創建私有CA并申請證書

raoyi / 2275人閱讀

摘要:實際情況中,內部系統的互相通信使用,往往不可能向公有申請證書申請證書需要很高的費用,故我們需要創建一個私有來申請證書實現通信。

前言

https相較于http而言有很大的安全性,當我們一個服務開啟https并與之通信時,往往需要證書的認證,如果是瀏覽器訪問服務,只要在瀏覽器內設置信任證書即可,而如果是程序內訪問服務(如java程序),則需要導入該服務的證書所信任的證書。

實際情況中,內部系統的互相通信使用https,往往不可能向公有CA申請證書(申請證書需要很高的費用),故我們需要創建一個私有CA來申請證書實現https通信。

名詞介紹 CA和證書認證

詳見我的一篇博文:https簡單解讀

實現步驟 環境介紹

64位 centos 7.X操作系統

裝有openssl命令

構建私有CA

CA要給別人簽發證書,首先自己得有一個作為根證書,我們得在一切工作之前修改好CA的配置文件、序列號、索引等等。

輸入以下命令更改配置文件:

vi /etc/pki/tls/openssl.cnf

配置文件更改以下部分:

[ CA_default ]
 
dir             = /etc/pki/CA           # Where everything is kept
certs           = $dir/certs            # Where the issued certs are kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
#unique_subject = no                    # Set to "no" to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.
 
certificate     = $dir/cacert.pem       # The CA certificate
serial          = $dir/serial           # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem # The private key
RANDFILE        = $dir/private/.rand    # private random number file
...
default_days    = 3650                  # how long to certify for
...
# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

在/etc/pki/CA目錄創建兩個文件index.txt和serial:

cd /etc/pki/CA && touch index.txt serial && echo 01 > serial

仍在當前目錄下生成一個CA私鑰cakey.pem和自簽證書cacert.pem:

openssl genrsa -out private/cakey.pem 2048
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

生成公鑰的時候會提示輸入一些信息,例子如下:

Country Name (2 letter code) []:CN                                 #國家名
State or Province Name (full name) []:hangzhou                     #省份名
Locality Name (eg, city) []:hangzhou                               #地名
Organization Name (eg, company) []:company                         #公司名
Organizational Unit Name (eg, section) []:unit                     #部門名
Common Name (eg, your websites domain name) []:localhost           #服務域名
Email Address []:                                                  #電子郵件

后面一些信息可按回車略過

這里比較重要的是Comman Name填寫的是服務的域名地址,即如果該證書用于某個服務則填該服務的域名地址(如用于百度服務器,則填寫www.baidu.com)

本方案的CA證書不用于某個服務,故可填localhost

私有CA簽署證書

為一個服務生成私鑰server.key和一個證書請求文件server.csr:

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

生成證書請求文件時,仍會提示輸入一些信息,例子如下:

Country Name (2 letter code) []:CN                                 #國家名
State or Province Name (full name) []:hangzhou                     #省份名
Locality Name (eg, city) []:hangzhou                               #地名
Organization Name (eg, company) []:company                         #公司名
Organizational Unit Name (eg, section) []:unit                     #部門名
Common Name (eg, your websites domain name) []:XXX.XXX.XXX         #服務域名
Email Address []:                                                  #電子郵件

這里的Common Name就應該填你實際服務所用的域名了

下面將該證書請求文件server.csr由你構建的私有CA簽署,生成一個server.crt證書:

openssl x509 -req -in server.csr -CA /etc/pki/CA/cacert.pem -CAkey /etc/pki/CA/private/cakey.pem -CAcreateserial -out server.crt

到此為止,server.crt證書可用于服務提供https訪問,客戶端若想訪問該服務,導入CA根證書cacert.pem即可。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/72734.html

相關文章

  • Nginx(3)-創建 https 站點

    摘要:常見的對稱加密算法密鑰長度可選等非對稱加密非對稱加密,密鑰成對出現,一公一私。申請者將自己的公鑰和個人站點信息發送給,請求其做認證。定義了證書的結構以及認證協議標準,目前使用的是第三版。 對稱加密 對稱加密中加密和解密使用相同的密鑰,加解密速度快,算法公開,計算量小。 showImg(https://segmentfault.com/img/bVbp5uW); 使用對稱加密,交易雙方都...

    hss01248 評論0 收藏0

發表評論

0條評論

raoyi

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<