-
2021-01-21 16:06:13
目录
一、CA中心申请证书的过程
1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)
2、web服务器使用 web私钥生成 web服务器的证书请求,并将证书请求发给CA服务器
3、CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。二、CA介绍
CA(Certificate Authority)证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。
三、构建私有CA
1.环境:
10.8.161.142 CA服务端
10.8.161.154 web服务端2.检查安装openSSL
[root@xiong ~]# rpm -qa openssl openssl-1.0.2k-21.el7_9.x86_64 没有则需下载 [root@xiong ~]#yum install openssl openssl-devel -y
3.查看配置文件
[root@xiong ~]# vim /etc/pki/tls/openssl.cnf [ ca ] default_ca = CA_default # 默认的CA配置;CA_default指向下面配置块 [ CA_default ] dir = /etc/pki/CA # CA的默认工作目录 certs = $dir/certs # 认证证书的目录 crl_dir = $dir/crl # 证书吊销列表的路径 database = $dir/index.txt # 数据库的索引文件 new_certs_dir = $dir/newcerts # 新颁发证书的默认路径 certificate = $dir/cacert.pem # 此服务认证证书,如果此服务器为根CA那么这里为自颁发证书 serial = $dir/serial # 下一个证书的证书编号 crlnumber = $dir/crlnumber # 下一个吊销的证书编号 crl = $dir/crl.pem # The current CRL private_key = $dir/private/cakey.pem # CA的私钥 RANDFILE = $dir/private/.rand # 随机数文件 x509_extensions = usr_cert # The extentions to add to the cert name_opt = ca_default #命名方式,以ca_default定义为准 cert_opt = ca_default #证书参数,以ca_default定义为准 default_days = 365 # 证书默认有效期 default_crl_days= 30 # CRl的有效期 default_md = sha256 # 加密算法 preserve = no # keep passed DN ordering policy = policy_match #policy_match策略生效 [ policy_match ] countryName = match #国家;match表示申请者的申请信息必须与此一致 stateOrProvinceName = match #州、省 organizationName = match #组织名、公司名 organizationalUnitName = optional #部门名称;optional表示申请者可以的信息与此可以不一致 commonName = supplied emailAddress = optional [ policy_anything ] #由于定义了policy_match策略生效,所以此策略暂未生效 countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional
4.根证书服务器目录
根CA服务器:因为只有 CA 服务器的角色,所以用到的目录只有/etc/pki/CA。
网站服务器:只是证书申请者的角色,所以用到的目录只有/etc/pki/tls。5.创建所需文件
[root@xiong ~]# cd /etc/pki/CA/ [root@xiong CA]# touch index.txt //生成证书索引数据库文件 [root@xiong CA]# echo 01 > serial //指定第一个颁发证书的序列号 [root@xiong CA]# ls certs crl index.txt newcerts private serial
6.创建密钥
在根CA服务器上创建密钥,密钥的位置必须为/etc/pki/CA/private/cakey.pem,这个是openssl.cnf中中指定的路径,只要与配置文件中指定的匹配即可。
[root@xiong CA]# (umask 066;openssl genrsa -out private/cakey.pem 2048) Generating RSA private key, 2048 bit long modulus ..................+++ ...........................+++ e is 65537 (0x10001)
7.生成自签名证书
根CA自签名证书,根CA是最顶级的认证机构,没有人能够认证他,所以只能自己认证自己生成自签名证书。
[root@xiong CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem -days 7300 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:BEIJING Locality Name (eg, city) [Default City]:BEIJING Organization Name (eg, company) [Default Company Ltd]:CA Organizational Unit Name (eg, section) []:OPT Common Name (eg, your name or your server's hostname) []:ca.xx.com Email Address []:
释义:
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days : 证书的有效期限
-out /PATH/TO/SOMECERTFILE:证书的保存路径8.下载安装证书
/etc/pki/CA/cacert.pem就是生成的自签名证书文件,使用 SZ/xftp工具将他导出到窗口机器中。然后双击安装此证书到受信任的根证书颁发机构。
[root@xiong CA]# yum -y install lrzsz [root@xiong CA]# sz cacert.pem //导出证书文件
打开本机浏览器->设置->管理证书->受信任颁发机构->导入->选择导出文件-> 下一步->确定->完成
四、客户端CA证书申请及签名
1.检查安装openSSL
[root@xiong ~]# rpm -qa openssl openssl-1.0.2k-21.el7_9.x86_64 没有则需下载 [root@xiong ~]#yum install openssl openssl-devel -y
2.客户端生成密钥
[root@cheng ~]# (umask 066;openssl genrsa -out /etc/pki/tls/private/www.xx.com.key 2048) Generating RSA private key, 2048 bit long modulus ................................................................................................+++ ....+++ e is 65537 (0x10001) [root@cheng ~]# cd /etc/pki/tls/private/ [root@cheng private]# ls //查看生成的密钥文件 www.xx.com.key
3.客户端用私钥加密生成证书请求
[root@cheng private]# openssl req -new -key /etc/pki/tls/private/www.xx.com.key -days 365 -out /etc/pki/tls/www.xx.com.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:BEIJING Locality Name (eg, city) [Default City]:BEIJING Organization Name (eg, company) [Default Company Ltd]:CC Organizational Unit Name (eg, section) []:OPT Common Name (eg, your name or your server's hostname) []:www.cc.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: //回车,不填写 [root@cheng private]# cd ../ [root@cheng tls]# scp www.xx.com.csr 10.8.161.142://etc/pki/CA/private/ //使用scp命令,通过ssh协议,将该文件传输到CA服务端下的/etc/pki/CA/private/目录 The authenticity of host '10.8.161.142 (10.8.161.142)' can't be established. ECDSA key fingerprint is SHA256:Pnn4ujYjcIxLfT+6p61HLQ/oyZ13/2cCzcKxa71EHaU. ECDSA key fingerprint is MD5:fe:2f:60:e0:39:dd:7e:79:6a:e9:0f:13:d3:a5:99:5f. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.8.161.142' (ECDSA) to the list of known hosts. root@10.8.161.142's password: //填写CA服务端密码 www.xx.com.csr 100% 997 1.1MB/s 00:00
CSR(Certificate Signing Request)包含了公钥和名字信息。通常以.csr为后缀,是网站向CA发起认证请求的文件,是中间文件。
4.CA服务端签署证书
[root@xiong CA]# vim /etc/pki/tls/openssl.cnf 87行:organizationName = supplied [root@xiong CA]# openssl ca -in /etc/pki/CA/private/www.xx.com.csr -out /etc/pki/CA/certs/www.cc.com.crt -days 365 Certificate is to be certified until Jan 20 06:23:04 2022 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated //证书通常以.crt为后缀,表示证书文件 [root@xiong CA]# openssl x509 -in ./certs/www.cc.com.crt -noout -subject //查看生成的证书的信息 subject= /C=CN/ST=BEIJING/O=CC/OU=OPT/CN=www.cc.com
5.CA服务端将证书发给请求服务端
[root@xiong certs]# scp www.cc.com.crt 10.8.161.154:/etc/pki/CA/certs/ The authenticity of host '10.8.161.154 (10.8.161.154)' can't be established. ECDSA key fingerprint is SHA256:ewDoyjXC/1bXCiPkc7yJDLpTAV86DIX8mbit7VH0Yc4. ECDSA key fingerprint is MD5:e8:56:7c:dd:f2:26:1e:67:98:71:1d:c5:96:ec:80:3b. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.8.161.154' (ECDSA) to the list of known hosts. root@10.8.161.154's password: www.cc.com.crt 100% 4422 4.6MB/s 00:00
6.CA服务端调整
[root@xiong certs]# vim /etc/nginx/conf.d/default.conf server { listen 443 ssl; server_name localhost; ssl_certificate /etc/pki/CA/certs/www.cc.com.crt;#指定证书路径 ssl_certificate_key /etc/pki/tls/private/www.cc.com.key;#指定私钥路径 ssl_session_timeout 5m; #配置用于SSL会话的缓存 ssl_protocols SSLv2 SSLv3 TLSv1; #指定使用的协议 ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #密码指定为 OpenSSL支持的格式 ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用服务端的加密,而不是客户端浏览器的。 location / { root /usr/share/nginx/html; index index.html index.htm; } } [root@xiong certs]#nginx -t [root@xiong certs]#nginx -s reload
7.测试
访问http://10.8.161.154,以下为样式
更多相关内容 -
免费CA证书系统
2017-10-25 17:41:01一个免费的开源的CA 证书签发系统,仅供参考和学习使用 -
CA证书
2018-01-30 19:02:591. CA证书理解?CA证书的作用?CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书。要对CA证书完全理解及其作用,首先要理解SSL。SSL(security sockets layer,安全套接层)是为网络通信提供...1. CA证书理解?CA证书的作用?
CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书。要对CA证书完全理解及其作用,首先要理解SSL。SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL3.0版本以后又被称为TLS。SSL位于TCP与各应用层之间,是操作系统向外提供的API。SSL如何保证网络通信的安全和数据的完整性呢?就是采用了两种手段:身份认证和数据加密。首先身份认证就需要用到CA证书了。先了解CA证书具体包括哪些内容:
颁发者
使用者
版本
签名算法
签名哈希算法
使用者
公钥
指纹
指纹算法
……
上述中颁发者、使用者、版本等内容好理解,颁发者就是CA机构,下面会讲到。对于签名算法、签名哈希算法的理解,首先要先理解签名是什么东东?联系到实际情况,当我们向某机构提供报告时,往往在报告最后加上个人的名字,以表示该报告是我本人的。签名在网络通讯中的应用称为数字签名,当服务器向客户端发送信息时,会将报文生成报文摘要,同时对报文摘要进行hash计算,得到hash值,然后对hash值进行加密,然后将加密的hash值放置在报文后面,这个加密后的hash值就称为签名。服务器将报文、签名和数字证书一同发送给客户端。客户端收到这些信息后,会首先验证签名,利用签名算法对签名进行解密,得到报文摘要的hash值,然后将得到的报文生成报文摘要并利用签名hash算法生成新的hash值,通过对比这两个hash值是否一致,就能判断信息是否完整,是否是由真正的服务器发送的。可知签名有两个作用确认消息发送方可靠,确认消息完整准确。上面提到了hash值的加密,我们还需要理解SSL的加密机制,在使用SSL的网络通讯过程中,消息在请求和响应中都是加密传送的。首先要知道加密算法分为两种:对称加密和非对称加密。对称加密就是发送双发使用相同的密钥对消息进行加解密,常见的对称加密为DES、3DES,AES等。非对称加密是发送双方各自拥有一对公钥私钥,其中公钥是公开的,私钥是保密的。当发送方向接收方发送消息时,发送方利用接收方的公钥对消息进行加密,接收方收到消息后,利用自己的私钥解密就能得到消息的明文。其中非对称加密方法有RSA、Elgamal、ECC等。此处只是简单了说明了这两种加密机制的过程,若要深入理解它们的原理、过程请搜索相应的资料,很容易搜索到。
好了,了解了签名原理和两种加密机制,我们继续理解网络通讯中是怎么利用CA证书进行身份认证的?客户端与服务端需要经过一个握手的过程才能完成身份认证,建立一个安全的连接。握手的过程如下:
- 客户端访问服务器(比如:https://www.12306.cn),发送ssl版本、客户端支持的加密算法、随机数等消息。
- 服务器向客户端发送ssl版本、随机数、加密算法、证书(证书出现了)等消息。
- 客户端收到消息后,判断证书是否可信(如何判断可信,看下文介绍),若可信,则继续通信,发送消息包括:向服务器发送一个随机数,从证书中获取服务器端的公钥,对随机数加密;编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送;客户端握手结束通知。
- 服务器端对数据解密得到随机数,发送消息:编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送。
以上就是整个握手的过程,在第三步实际上就完成了身份的认证,第四、五步是进行密钥的商定,因为非对称加密算法对数据加密非常慢,效率低,而对称加密加密效率很高,因此在整个握手过程要生成一个对称加密密钥,然后数据传输中使用对称加密算法对数据加密。可知ssl整个握手过程包括身份认证、密钥商定。上述讲述ssl的握手过程比较简单,想要深入理解ssl原理,下面这篇博文讲的不错:
https://segmentfault.com/a/1190000002554673
一定要看上面的博文,否则无法彻底理解证书使用的原理。2.客户端是如何验证CA证书是可信任的?
一般来说,现在公共网站数据传输都是使用SSL,即通过https协议访问。Https就是http加SSL。在上面SSL握手过程中,客户端是如何验证服务器发送的CA证书呢?我们以12306网站为例进行说明,此时,客户端就是浏览器,如果我们是第一次访问12306网站,使用https://www.12306.cn地址访问,返回如下结果:
提示此网站的安全证书有问题,说明证书不可信,如果我们忽略证书不可信,继续访问网站,打开12306网页,在首页提供一个根证书的下载,见下页面:
下载根证书,安装完毕,再次访问12036网站,就不会提示网站的安全证书有问题了。这是什么机制呢?
打开【工具】菜单(360浏览器为例),然后选择【内容】选项卡,点击【证书】按钮,打开证书窗口,选择【中级证书颁发机构】,会看到已经安装的12306的证书:
只要安装上12306证书,就说明证书是可信的。使用https协议访问时,服务器发送证书向浏览器时,首先查找该证书是否已在信任列表中,然后对证书进行校验,校验成功,那么就证明证书是可信的。另外,证书的认证是安装证书链执行的,证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,比如在证书窗口中有一个360证书,见下图:
360证书的颁发者是certification authority of wosign,在【受信任的根证书颁发机构】中,我们会看到该证书:见下图,
也就是说,certification authority of wosign生成360证书,360可以生成其它的证书。A证书或者certification authority of wosign证书在整个证书链上就被称为根证书,证书验证的机制是只要根证书是受信任的,那么它的子证书都是可信的。比如说,我们使用https协议访问了需要360证书的网站,即使我们不安装360证书,那么网站也不会提示证书不安全,因为,生成360证书的根证书certification authority of wosign证书,在受信任的证书列表中。如果一个证书的根证书是不可信的,那么这个证书肯定也是不可信任的。
由以上可知,根证书在证书验证中极其重要,而且,根证书是无条件信任的,只要我们将根证书安装上,就说明我们对根证书是信任的。比如我们安装12306的根证书,是出于我们对国家的信任,对网站的信任,我们才放心安装这个根证书。对于一些不安全的网站的证书,一定要慎重安装。
另外需要知道的是,【受信任的根证书颁发机构】中的证书是windows预先安装的一些证书,都是国际上很有权威的证书机构,他们证书的生成都有很严格的流程,因此他们的证书被认为是安全,就像我们相信银行是安全,所以把钱存入到银行。
3.有哪些CA机构?
世界上较早的数字认证中心是美国的verisign公司,在windows的证书窗口中可以看到好多verisign公司生成的证书,见下图:
另外还有加拿大的ENTRUST公司,也是很著名的证书机构。中国的安全认证体系分为金融CA和非金融CA。在金融CA方面,根证书由中国人民银行管理,在非金融CA方面,由中国电信负责。中国CA又可分为行业性CA和区域性CA,行业性CA中影响最大是中国金融认证中心和中国电信认证中国;区域性CA主要是以政府为背景,以企业机制运行,其中广东CA中心和上海CA中影响最大。
4.自签名证书的如何生成、安装?
有时候,我们在内部系统传输数据需要使用SSL协议,对数据加密,但是我们又不想花钱去申请CA,这个时候可以使用自签名CA,实现数据加密传输的功能。首先要明确一点就是自签名证书是不安全的,存在安全漏洞,具体看下面的博文介绍:
为什么”自签名SSL证书”不安全?
https://www.wosign.com/FAQ/selfsigned_SSL_insecure.htm自签名证书使用jdk中的keytool生成即可,看似神秘,但实际上比较简单,见下博文:
如何利用keytool工具生成数字证书
https://jingyan.baidu.com/article/b0b63dbfe18eff4a483070f4.html自签名证书的安装也很简单,见下博文:
添加自签发的 SSL 证书为受信任的根证书
https://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/在java编程中,使用socket网络编程,实现SSL协议,对服务器的证书需要导入到客户端的秘钥库中,这样才能完成自动认证,具体实现见下博文:
JAVA SSL SOCKET通信服务器端客户端证书双向认证
http://blog.csdn.net/matt8/article/details/45071815 -
申请CA证书的步骤
2022-04-19 08:46:45随机查看证书— OpenSSL OpenSSL—安全套接字协议 在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网...
我们再日常使用的系统中会用到很多签名的地方,
再win中 控制台输入certmgr.msc
随机查看证书—OpenSSL
OpenSSL—安全套接字协议
在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。几个关键词—
- CSR
证书签名请求文件
- CRT
证书
- key
私钥
以上知识一些基础的内容,我们再来说OpenSSL,首先他是一个协议—安全套接字协议,他的核心就是通过加密传输时的数据来保证信息不被非法窃取,保护用户隐私;
申请CA证书
openssl通过加密算法来实现.
openssl下载–linux版下载之后安装openssl,安装后的目录
通过start.bat启动openssl
在D盘key文件夹下生成密钥文件C:\Users\Gavin>openssl genrsa -des3 -out d:/key/server.key Enter PEM pass phrase: Verifying - Enter PEM pass phrase:
私钥文件—
生成私钥,需要提供一个至少4位,最多1023位的密码
由私钥创建待签名的证书----即公钥
C:\Users\Gavin>openssl.exe req -new -key d:/key/server.key -out d:/key/pub.csr
依次输入国家,地区,城市,组织,组织单位,Common Name和Email,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
最后 生成的文件
查看证书内容—
C:\Users\Gavin>openssl.exe req -text -in d:/key/pub.csr -noout
以上申请证书的准备工作就做好了
自建CA
创建CA密钥
C:\Users\Gavin>openssl.exe genrsa -out D:/key/gavinca.key 2048 #默认长度也是2048
生成CA待签名证书
C:\Users\Gavin>openssl.exe req -new -key d:/key/gavinca.key -out d:/key/gavinca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:cn State or Province Name (full name) [Some-State]:cn Locality Name (eg, city) []:cn Organization Name (eg, company) [Internet Widgits Pty Ltd]:cn Organizational Unit Name (eg, section) []:cn Common Name (e.g. server FQDN or YOUR name) []:cn Email Address []:cn Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:cn An optional company name []:cn
生成CA根证书
C:\Users\Gavin>openssl.exe x509 -req -in d:/key/gavinca.csr -extensions v3_ca -signkey d:/key/gavinca.key -out d:/key/gavinca.crt Warning: ignoring -extensions option without -extfile Certificate request self-signature ok subject=CN = cn, ST = gavin, L = cn, O = future, OU = cn, CN = cn, emailAddress = cn
实际上我们的证书不需要存储到本地计算机,而是在浏览器中存储区会有相应的证书以edge为例子---->>
设置---->>管理证书
所以https的加密传输需要网站支持----->>申请CA证书
小结—>>
申请CA证书的步骤;
- 1,生成自己的私钥
- 2,根据私钥生成公钥
生成该公钥需要携带一些信息— - 3,申请CA证书
模拟https加密流程
- 准备好密钥及证书
服务器端准备-----
准备一个私钥C:\Users\Gavin>openssl genrsa -des3 -out d:/key/server.key Enter PEM pass phrase: #加密server.key Verifying - Enter PEM pass phrase:
根据私钥生成一个公钥—即待签名的证书
C:\Users\Gavin>openssl req -new -key d:/key/server.key -out d:/key/pub.csr Enter pass phrase for d:/key/server.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:SD Locality Name (eg, city) []:YTL Organization Name (eg, company) [Internet Widgits Pty Ltd]:YTL Organizational Unit Name (eg, section) []:YTL Common Name (e.g. server FQDN or YOUR name) []:TYL Email Address []:12345678@YTL.COM Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:1234 An optional company name []:YTL
生成CA证书–
C:\Users\Gavin>openssl.exe x509 -req -in d:/key/pub.csr -extensions v3_ca -signkey d:/key/server.key -out d:/key/server.crt Enter pass phrase for d:/key/server.key: Warning: ignoring -extensions option without -extfile Certificate request self-signature ok subject=C = CN, ST = SD, L = YT, O = CodeM, OU = CODE, CN = Gavin, emailAddress = 12345678@hah.com
生成的证书还没有得到认证,因此无效的,没有 被信任.
需要对证书进行签名后才能内使用,这里就不用大机构来认证了,自己整一个CA进行认证;
- CA认证跟证书申请
----csr的过程类似:
准备CA的密钥:
C:\Users\Gavin>openssl.exe genrsa -out d:/key/serverca.key 2048
生成待签名的证书----公钥:
C:\Users\Gavin>openssl.exe req -new -key d:/key/serverca.key -out d:/key/serverca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:USA String too long, must be at most 2 bytes long Country Name (2 letter code) [AU]:UK State or Province Name (full name) [Some-State]:LD Locality Name (eg, city) []:LD Organization Name (eg, company) [Internet Widgits Pty Ltd]:LD Organizational Unit Name (eg, section) []:LD Common Name (e.g. server FQDN or YOUR name) []:KD Email Address []:LDLDKD@haha.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:1234 An optional company name []:LD
生成CA根证书
C:\Users\Gavin>openssl.exe x509 -req -in d:/key/serverca.csr -extensions v3_ca -signkey d:/key/serverca.key -out d:/key/serverca.crt Warning: ignoring -extensions option without -extfile Certificate request self-signature ok subject=C = LD, ST = LD, L = LD, O = LD, OU = LD, CN = LD, emailAddress = 1234567@haha.com
对根证书进行签名
C:\Users\Gavin>openssl x509 -days 365 -req -in d:/key/pub.csr -extensions v3_req -CAkey d:/key/serverca.key -CA d:/key/serverca.crt -CAcreateserial -out d:/key/server.crt Warning: ignoring -extensions option without -extfile Certificate request self-signature ok subject=C = CN, ST = SD, L = YTL, O = YTL, OU = YTL, CN = TYL, emailAddress = 12345678@YTL.COM #x509 协议 ,days 有效期 -req 请求 ---即由服务器的公钥要经过ca的私钥serverca.key ca公钥(证书) 认证(加密/解密)生成 经过认证的证书
再看CA颁发的证书—即服务器证书经过CA认证后的
有了证书之后,还需要注册到系统中
安装证书即可;
再次查看证书状态至此证书申请和认证完毕;
https 加密的使用注意:Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则依旧会引起浏览器警告。
CA证书的应用---->> 如果网站要对外提供服务就需要对网站进行认证
-
[江苏地税ca证书]江苏CA证书无法读取的问题地税的CA证书,插入后提示系统没有检测
2020-12-20 21:59:15篇一 : 江苏CA证书无法读取的问题地税的CA证书,插入后提示系统没有检测江苏CA证书无法读取的问题的CA证书,插入后提示系统没有检测到有效的USBKEY,无法获取USBKEY,行助手已安装,老版的地税CA证书能读取,新版的就...篇一 : 江苏CA证书无法读取的问题地税的CA证书,插入后提示系统没有检测
江苏CA证书无法读取的问题
的CA证书,插入后提示系统没有检测到有效的USBKEY,无法获取USBKEY,行助手已安装,老版的地税CA证书能读取,新版的就不行(CA证书没问题),想请教各位高手该怎么办
是不是要重新装一下CA证书的驱动?换新证书的话应该驱动也会换吧
篇二 : 地税系统 CA 证书使用手册
地税系统CA证书使用手册
1、安装前请先关闭或卸载“防火墙”、“上网助手”等程序及Word、Excel等文档;
2、运行从网上(浙江CA www.zjca.com.cn或汇信网www.icinfo.com.cn)下载的“企业数字证书安装光盘5.0”(双击“setup5.0.exe”文件即可);
3、点击“下一步”开始安装,程序安装过程中所有涉及安全警告、系统提示及“是与否”的选择时请一律点击“是”(如图)
4、 出现初始化界面(如图)后,直接点击“取消”并“关闭”即可;
ca证书 地税系统 CA 证书使用手册
5、安装成功后电脑右下角任务栏会有企业数字证书程序运行标志(如图):
首先在电脑上插入企业数字证书USB-Key。(]
在浏览地址栏输入www.zjds-etax.cn进入浙江地税因特网办税服务系统主页,点击“证书用户登录”按扭。
浏览器会提示“正在连接CA服务器”,并弹出窗口提示用户“即将通过安全连接查看网页”(如果用户对浏览器进行过“以后不再显示该警告”的设置,则不会弹出此提示窗口),
点击“确定”后浏览器即转为https协议与CA
服务器进行数据传输,同时提示用户选
ca证书 地税系统 CA 证书使用手册
定相应的证书用于客户端身份验证,由于数字证书采用的是加密的传输协议,登录的过程会比普通申报方式慢,请大家耐心等待。(]
选定相应的证书后点击确定,系统会提示输入登录证书设备的口令(如果用户电脑运行着自动证书导入程序,则会跳过此步骤),
口令验证无误后,如果该企业用户是第一次以CA证书方式登录网税系统,这时系统还会出现注册验证界面,提示用户输入网税系统的用户和密码,注册成功后,以后的登录即会跳过此步骤,
验证通过后浏览器弹出窗口提示用户“您将要离开安全的Internet连接”,(如果用户对浏览器进行过“以后不再显示该警告”的设置,则不会弹出此提示窗口),
ca证书 地税系统 CA 证书使用手册
确定后即成功进入到电子申报系统界面。()
成功登录系统后即可以进行纳税申报了,申报的步骤跟普通申报的操作完全一致。
用企业数字证书进行登录,在“选定连接时使用的证书”一步时,列表中没有可用的证书怎么办?
答: 这是因为系统无法自动导
入证书引起的,请用手工进行证书的
导入,然后重新登录。
具体步骤为:点击 “开始”菜
单→ “所有程序” → “汇信科技”
→ “ZJCA CSP” → “证书导入”
ca证书 地税系统 CA 证书使用手册
(如图)
a) 加密设备栏:若为空白,请将介质USB-Key重新插入或换插另一个电脑USB接口
后点击“刷新列表”;
b) 加密设备口令:输入原始口令“123456”
c) 导入证书类型:选择“签名证书”
d) 点击“导入证书”,出现“一张签名证书成功导入浏览器”时点击“确定”
在插入企业数字证书后,一直提示如下输入密码界面?
答:这是因为你更改过数字证书的初始密码引起的,数字证书初始密码为123456,进行更改过后每次插入证书都会让你输入更改过的密码,如输错,则一直会停留在该界面。()
用企业数字证书无法成功登录,提示“取企业税务局编码失败”或“用户信息不匹配”?
答:请先确认在登录时选择的证书与USB-Key一致,如还不法登录,则是因为企业的名
ca证书 地税系统 CA 证书使用手册
称或者注册号发生变更而证书内容未做改变不相符,需到当地工商做证书信息变更。[)证书在变更之后需要重新打开CSP证书导入工具进行导入,随后再进行登陆即可解决。
用企业数字证书无法成功登录,一直提示正在“连接CA服务器”或“无法打开该页”?
答:出现该问题有以下几种可能,请逐一进行排除:
a:由于数字证书没有插好或接触不良引起,请重新插一便或换一个电脑USB接口试试看, 直到确认USB-KEY上的灯亮。
b:由于证书过期引起,请在IE浏览器上点击“工具”→“Internet选项”→“内容”→“证书”,然后查看你企业对应证书的截止日期,是否已经过期,如已过期请到当地工商部门更改证书有效期。
C:由于电脑软件问题引起,请从“控制面板”→“添加删除程序”中卸载“汇信软件”,然后重新启动计算机,并重新安装“企业数字证书安装光盘5.0”。如在软件安装过程中有出现报错等异常现象,表明是操作系统出现问题,需要先解决操作系统问题再安装数字证书软件。
登陆地税时打开网页很慢最后显示无法打开网页?
答:根据网络端口,在报税之前应该先了解自己的网络是属于电信还是网通。相对应的选择进入报税。
电信报税网址:
网通报税网址:http://etax.zjds.cn/index.jsp
ca证书 地税系统 CA 证书使用手册
登陆地税时出现一直“连接CA服务器,请稍后……”怎么办?
答:先重启电脑,待启动之后点击“开始”—“所有程序”—“汇信科技”—“zjca csp”—“证书导入”,重新输入口令导入证书,提示证书导入成功后再打开地税页面进行登陆即可。()
为什么登陆地税时无法显示网页?
答:1首先查看网络连接是否正常;
2检查证书安装版本是否正确,需安装最新的5.0版本;
3检查证书是否插好,灯有没有亮。(台式机请直接插主机后面)打开”CSP证书导入工具”看一下加密设备里有没有加密模块的字样,如没有请检查一下证书是否安装成功(请用鼠标的右键点击你电脑桌面上的“我的电脑”的图标,然后选择“属性”,选择“硬件”中的“设备管理器”,查看里面是否有“其他设备”标有惊叹号和问号,如果有,选择该设备,点鼠标右键中的卸载,然后拔出KEY重新插入电脑,点击证书导入工具的“刷新列表”。过程即:我的电脑->属性->硬件->设备管理器;设备管理器里没有其他设备这个选项的,请在“通用串行总线控制器”的子菜单里,卸载或双击问号,重装一下驱动程序就好;还有一种情况就是由于电脑安装了搜狗拼音输入法,该输入法与证书的CSP证书导入工具有冲突,需要进入控制面板把该输入法卸载。)
4查看证书是否过期,点击网页的“工具”-“Interent选项”-“内容”-“证书”即可查看到企业证书的有效期限,如过期可上汇信网进行咨询在线延期(客服电话88234636)或到当地工商部门进行延期。
登陆地税出现以下图片时怎么解决?
答:存储过程没有执行权限,要与当地的地税信息中心联系。
ca证书 地税系统 CA 证书使用手册
登陆地税时出现以下情况如果解决?
答:主要是由于这一时段报税人比较多,地税服务器繁忙所导致的。[)请在服务器空闲时再重新登陆。
证书延期之后登陆地税网仍无法打开网页?
答:证书在延期之后企业数字证书USB-Key中包含的代表企业身份信息的电子数据文件也做了相应的更新,所以在登陆之前需要打开“CSP证书导入工具”输入密码重新导入。进入地税页面之后,会这时系统还会出现注册验证界面,提示用户输入网税系统的用户和密码,注册成功后,进入报税页面即可。
进入报税页面之后点击报表无法打开
答:由于安装了网页插件或者助手导致的报表无法弹出,比如百度助手等。进入控制面板的“添加或删除程序”找到该软件进行卸载,再重新进入报税页面报表就能打开了。
ca证书 地税系统 CA 证书使用手册
报表保存时出现两张证书应选择哪一张?
答:报表填完之后在保存时,会出现两张证书5和6,按证书延期之后的情况来看,选择6后就可以保存;或者出现13和14,选择14(一般选择数字大的)。()
报表填写完毕点击保存按扭后提示网页上有错误,无法成功提交怎么办? 答:进入地税页面打开报表填写完成以后点击提交时,网页的状态显示栏已经显示完成但是报表没有任何反应,该状态是由于电脑的IE浏览器禁止了ActiveX控件的安装引起的,请检查您的电脑是否安装了上网助手或其他拦截广告的插件,如果是,请将其设置为不要拦截ActivX控件,同时请按以下步骤进行IE的安全性设置:
在IE浏览器上点击“工具”→“Internet选项”→“安全”→“可信站点”→“站点”→在“将该网站添加到区域”栏中填入报锐网址“http://www.zjds-etax.cn” →点击“添加”→点击“关闭”→点击“确定”
然后重新进行报表的申报,如出现下图中的提示,请点击运行ActiveX控件。
并在随后出现的IE安全警告框中,点击“运行”进行安装。
-
CA证书制作工具
2012-11-14 14:05:19非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。 -
秒懂Https之CA证书与自签名证书漫谈
2020-07-25 11:07:39... 客户端与服务端使用非对称加密将一个秘钥,我们记做Key,传递给对方。 那么现在客户端与服务端都知道了这...此时CA就粉墨登场了,其存在的意义就是确保通信的一方可以安全的获取到对方的这个公钥。 我们先介绍几个相关. -
CA证书认证流程
2021-12-17 14:12:19- `服务端 S`向第三方权威机构CA申请证书,`服务器 S`先生成公钥和私钥对 - 确认信息里面绑定我们当前使用哪个域名,以及申请者以及公钥 - 生成请求文件`.csr `(csr是我们`服务端 S`向CA提交申请的文件)注意:提交... -
OpenSSL 生成CA证书及终端用户证书
2020-08-21 10:50:50一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 ...二、生成CA根证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re -
使用OpenSSL创建多级CA证书链签发证书并导出为pkcs12/p12/pfx文件
2022-03-21 14:10:37生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书链5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二... -
Centos搭建简单的证书机构,CA证书服务器
2022-03-08 14:16:05CA认证: CA认证,即电子认证服务[1],是指为电子签名相关各方提供真实性、可靠性验证的活动。 证书颁发机构(CA, Certificate Authority)即颁发...首先在配置文件里面查看CA证书需要哪些文件和哪些目录 vim/et... -
自签名证书和私有CA证书的制作
2021-10-23 17:53:54自签名证书和私有CA证书的制作 基本概念 证书类型 PEM(privacy-enhanced Electronic Mail):明文格式的,以----BEGING CERTIFICATE ----开头,以 ----END CERTIFICATE ----结尾,中间是经过basee64编码的内容。... -
24、OpenSSL生成CA证书及终端用户证书
2022-03-15 16:52:311、准备ca.conf配置文件 内容如下 [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = ... -
CA证书和SSL证书的区别
2021-08-18 17:50:39SSL证书与CA证书是同一种东西吗?SSL证书与CA证书有什么区别? CA机构属于一个主体,比如:Gworg CA机构,然而CA机构可以颁发各种数字证书,其中包括SSL证书、邮件证书、加密证书、软件数字证书等等。所以SSL证书也... -
CA证书概念介绍
2020-12-14 15:45:22CA, (Certificate Authority) CA认证,即电子认证服务, 是指为电子签名相关各方提供...网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。 如果用户想得 -
Android CA证书安装流程
2021-06-06 02:59:40前段时间一直在忙高通项目的需求,同事转给我一个证书安装的bug给我,一直没时间解,给Marvell提case,个把月了还不给回复,囧!求人不如求己正好最近需求做完了,索性就自己跟下代码。证书安装入口在设置-->安全... -
CA证书简单介绍
2021-03-03 21:58:48想要了解什么是CA证书,什么是CA、什么是证书、证书的生成过程。 1、 什么是CA? CA全称为Certificate Authority,可以翻译为证书颁发机构。主要功能为:证书发放、证书更新、证书撤销和证书验证。 2、 什么是证书? ... -
BurpSuite CA证书安装(拦截HTTPS协议)
2021-05-26 15:04:30一、CA证书介绍 目的:为了解密HTTPS流量 HTTPS为了传输数据加密安全性,在原有的HTTP协议上加入了套接字层SSL协议,并通过CA证书验证服务器身份,并对通信消息进行加密,为了抓取到HTTPS的数据流量一个重要的... -
网络服务与安全之openSSL制作CA证书
2021-12-01 12:13:54在网络中,数据在服务器端与客户端之间传递,为了保证数据安全,需要将数据进行加密后再传输,这样即使数据被窃取,窃听者也无法知道数据的真实内容。...CA(certificate authority):认证中心: CSR(certificate . -
申请网站CA证书
2022-03-08 12:18:452:通过代理商云服务器厂商申请CA证书 3:根据云服务器步骤,1补全,2,提交审核,3进度,颁发,下载, 4:把证书文件传到云服务器,解压zip证书文件 4:创建一个cert到nginx下的conf文件下.把证书移动到该文件下 5... -
MIUI12.5安装ca证书提示失败
2021-09-02 20:18:051.去设置中找到ca证书 2.搜索刚刚下的ca证书 最后点击安装即可 -
openssl 从内存直接加载CA证书
2021-10-11 11:13:34参考链接 openssl 从内存加载ca证书 - Zzz...y - 博客园 (cnblogs.com) ... poha.mqtt.c 库使用tls连接时,默认是通过文件方式加载证书的。...想要改成从内存直接加载ca证书,将证书硬编码进程序中,防止 -
如何获取服务器的 CA 证书?
2020-05-13 16:51:57前言 ... 它的主要作用可以分为两种: 其一, 单纯地建立信息安全通道, 来保证数据...本文档根据 CA 证书的来源, 分来两种场景进行了详细介绍. CA 机构签发: 场景描述1 自签 CA: 场景描述2 场景描述1 将最新固件上传到 H -
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
2020-11-06 09:18:14使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器... -
Android https 自签名和CA证书验证(基于OkHttp)
2020-11-12 20:56:09Android HTTPS自签名和CA证书验证(基于OkHttp)HTTPS介绍场景 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对... -
内部 CA 证书管理
2020-05-28 09:55:09内部 CA 证书管理 生成 CA 证书 # 生成 KEY openssl genrsa -out ca.key 4096 # 生成证书 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=常用名(或域名)" \ ... -
CA证书的签发流程详情
2021-12-17 13:27:43一,什么是CA证书: CA证书是电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性... -
自制ca证书,nginx配置https访问
2021-12-09 15:05:44CA证书:由CA机构颁发的证书,相当于盖公章。是由颁发机构的私钥给需要证书方的公钥加密生成。 这里需要两个密钥对,一个颁发方,一个是请求证书方。 颁发证书过程: 1.请求方假定叫a事先生成密钥对,也可以是颁发...