1.     数字证书:
  2.     第三方机构使用一种安全的方式把公钥分发出去
  3.        证书格式:x509pkcs家族
  4.          x509格式:
  5.            公钥和有效期限:
  6.            持有者的个人合法身份信息;(主机名,域名)
  7.            证书的使用方式
  8.            CA的信息
  9.            CA的数字签名
  10.  
  11.         谁给CA发证:自签署证书
  12.    用户
  13.     .生成一对密钥
  14.     .把所需信息和公钥按固定格式制作成证书申请(把公钥给CA签署)
  15.  
  16.    CA机构
  17.     .自签证书,生成密钥对
  18.     .签署证书
  19.     .传给用户
  20.     .维护吊销列表(是否过期)
  21.     OpenCA(大规模应用)
  22.  
  23. openssl实现私有(自建)CA
  24. 配置文件/etc/pki/tls/openssl.cnf
  25. 命令:
  26. 谁给CA发证:自签署证书
  27.  

  1. CA服务器端:
  2.     openssl实现私有CA
  3.             配置文件:/etc/pki/tls/openssl.cnf
  1.     
         [root@k8s1 CA]#  cd /etc/pki/CA
  2.  
  3.         生成密钥对儿,默认生成公钥和私钥 cakey.pem是私钥:
  4.             # (umask ; openssl genrsa -out private/cakey.pem )
  5.  
  6.             如果想查看公钥,公钥是从私钥中提取出来的,非必要提取公钥:
  7.                 # openssl rsa -in private/cakey.pem -pubout -text -noout
  8.  
  9.         生成自签证书:
  10.             # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 
  11.  
  12.         countrCountry Name         国家
  13.         State or Province Name     州或者省的名字
  14.         Locality Name              所在的城市
  15.         Organization Name          所在的公司
  16.         Organizational Unit Name   所在的部门
  17.         Common Name                https访问的地址
  1.     配置文件:/etc/pki/tls/openssl.cnf
  1.

自签证书,openssl.conf 配置文件,无法修改Common Name(https://ca.cinyi.com),和email,需要手动修改。

  1.      
  1.         创建需要的文件:
         # cd /etc/pki/CA
  2.         # touch index.txt serial crlnumber
  3.  
  4.         给签发的客户端编号
  5.         #echo  > serial 
  6.  
  7. 客户端:
  8.  
  9.     openssl实现证书申请:
  10.  
  11.         在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:
  12.             # mkdir /etc/httpd/ssl
  13.             # cd /etc/httpd/ssl
  14.             # (umask ; openssl genrsa -out httpd.key )
  15.  
  16.         生成证书签署请求(输入的字符country name,State or Province Name, Organization Name 必须和服务CA端相同,否则
         CA签署不通过):
  17.             # openssl req -new -key httpd.key -out httpd.csr 
               
  1.         将请求文件发往CA
  2.        # scp httpd.csr CA服务器端:/tmp/
  1. CA服务器端:
  1.     CA签署证书:
  2.         签署:
  3.             # openssl ca -in /tmp/192.168.20.230.csr  -out /tmp/192.168.20.230.crt -days 
  4.  
  5.         将证书传回请求者,可以放置到nginx 配置文件下,形成https访问
                #  scp /tmp/192.168.20.230.crt 192.168.20.230:/tmp/下,
  6.  
  7.     吊销证书:
  8.         # openssl ca -revoke /path/to/somefile.crt

openssl生成证书的更多相关文章

  1. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  2. 使用OpenSSL生成证书

    使用OpenSSL生成证书 下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下)1.首先要生成服务器端的私钥(key文件):openssl ...

  3. 如何利用OpenSSL生成证书

    此文已由作者赵斌授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 一.前言 最近为了测试内容分发网络(Content Delivery Network,简称 CDN)添加的新功 ...

  4. [转帖] ./demoCA/newcerts: No such file or directory openssl 生成证书时问题的解决.

    接上面一篇blog 发现openssl 生成server.crt 时有问题. 找了一个网站处理了一下: http://blog.sina.com.cn/s/blog_49f8dc400100tznt. ...

  5. 使用 openssl 生成证书

    一.openssl 简介 目前最流行的 SSL 密码库工具官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 ...

  6. PHP通过OpenSSL生成证书、密钥并且加密解密数据,以及公钥,私钥和数字签名的理解

    一.公钥加密假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个文 ...

  7. openssl 生成证书基本原理

    摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所 ...

  8. centos7 openssl 生成证书给自己使用

    Step1: centos7 系统自己生成证书 给自己签发不安全的域名证书 openssl genrsa - #生成ca根秘钥 是长度 openssl req - -key ca.key -out c ...

  9. [k8s]通过openssl生成证书

    证书认证原理: http://www.cnblogs.com/iiiiher/p/7873737.html [root@m1 ssl]# cat master_ssl.cnf [req] req_ex ...

  10. openssl 生成证书

    nginx生成证书,一共四步 1) 生成RSA私钥 (会要求输入至少4位密码)# openssl genrsa -des3 -out private.key 2048 # 2) 根据已生成的RSA私钥 ...

随机推荐

  1. ssh基础配置大全

    firstweb firstweb-pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi= ...

  2. 清除浮动以及:after元素

    http://www.iyunlu.com/demo/enclosing-float-and-clearing-float/index.html 以上这篇示意图把清除浮动的几种方法讲的非常清楚了,其中 ...

  3. elixir 模块

    模块定义  defmodule 函数定义  def 私有函数  defp  --相当于其他语言 private iex(29)> defmodule Math do...(29)> def ...

  4. Atitit.播放系统的选片服务器,包厢记时系统 的说明,教程,维护,故障排查手册p825

    Atitit.播放系统的选片服务器,包厢记时系统 的说明,教程,维护,故障排查手册p825 1. 播放系统服务器方面的维护2 1.1. 默认情况下,已经在系统的启动目录下增加了俩个启动项目2 1.2. ...

  5. Android上实现视频录制

    首先,我们肯定要用到摄像头,因此需要在Manifest文件中声明使用权限: <uses-permission android:name="android.permission.CAME ...

  6. 3org.springframework.beans.factory.BeanDefinitionStoreException异常

    1.下面是我遇到的异常信息: 2017-03-25 18:01:11,322 [localhost-startStop-1][org.springframework.web.context.Conte ...

  7. unity3d中的自定义模型的顶点法线和建模软件中的术语“软硬边”和立方体

    在unity3d中我是想用Mesh生成一个正方体,直到遇到了法线的问题. 我是想显示如下图所示的正方体,却发现法线设置上的问题. 这里我先使用了8个顶点 按照每个顶点一个法线的结果,只能是这样:(也就 ...

  8. 【Kendo UI系列开发使用笔记】01-简单介绍

    ps:接触telerik出品的kendo ui系列已经快有一年了,使用过程中也在不断踩坑填坑.这套UI用起来还是非常爽的,尤其asp.net mvc版的配合lambda表达式来配置参数非常流畅.这次对 ...

  9. ASP.NET中母版页引用外部js或css文件无效,提示对象未定义解决方法

    最近做网站用了一个js+css实现的带有二级菜单的导航条,在母版页创建好后,子页面调用出现了许多奇怪的问题,多方查证后的最终解决方案和大家分享下.... 1.路径问题 如果是一个单独的aspx页面调用 ...

  10. Oracle EBS 应收API只创建收款没有核销行以及消息堆栈

    只创建了收款但没有创建核销行 排除其他原因 有可能是缓存溢出导致的这个要改成true 且使用消息堆栈处理