精华内容
下载资源
问答
  • linuxca证书
    千次阅读
    2022-04-19 09:38:34

    Linux快速生成CA证书(只要五行命令)

    1、生成CA证书

    参考文献:https://www.nginx.cn/doc/optional/ssl.html

    $ cd /usr/local/nginx/conf
    $ openssl genrsa -des3 -out server.key 1024
    $ openssl req -new -key server.key -out server.csr
    $ cp server.key server.key.org
    $ openssl rsa -in server.key.org -out server.key
    $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
    

    2、Linux上安装OpenSSL(需要的自取哈)

    使用yum安装只要一行命令哈:

    yum install -y openssl openssl-devel	# 安装OpenSSL
    

    可能会用到的命令:

    yum -y install gcc	#安装gcc
    yum update gcc		#升级gcc版本
    openssl version -a	#检查openssl是否存在
    yum update openssl	#更新openssl	
    
    更多相关内容
  • Lab3.1准备环境:安装openssl工具yum install –yopenssl修改/etc/pki/tls/openssl.cnf将dir= ../../CA修改为/etc/pki/CA --指定工作的根目录(这里只要修改成/etc/pki/CA就可以了...ca.crt --证书文件所在的位置(公...

    Lab3.1

    准备环境:

    安装openssl工具

    yum install –y

    openssl

    修改/etc/pki/tls/openssl.cnf将

    dir

    = ../../CA修改为/etc/pki/CA --指定工作的根目录(这里只要修改成/etc/pki/CA就可以了,也可以使用相对路径)

    certificate =

    $dir/newcerts

    修改为$dir/my-ca.crt --证书文件所在的位置(公钥)

    crl =

    $dir/crl.pem修改为$dir/my-ca.crl

    --证书吊销列表

    private_key =

    $dir/private/cakey.pem 修改为$dir/private/my-ca.key

    修改生成证书时的默认值

    修改为

    在/etc/pki/CA文件夹中创建/etc/pki/tls/openssl.cnf中定义的目录

    mkdir

    /etc/pki/CA/certs crl newcerts

    创建索引文件和序列号文件

    产生私钥并修改权限为600

    touch

    /etc/pki/CA/index.txt

    echo

    01 > /etc/pki/CA/serial

    lab3.2

    安装dovecot

    yum

    install –y dovecot

    修改/etc/dovecot.conf配置文件修改为使用加密的协议

    将protocols = pop pop3s imap imaps修改为

    protocols=imaps(将前面的注释取消)

    重启dovecot

    service dovecot restart

    复制出创建证书的脚本

    cp

    /usr/share/doc/dovecot-version/examples/mkcert.sh

    编辑脚本文件将默认的

    OPENSSL=${OPENSSL-openssl}

    SSLDIR=${SSLDIR-/etc/pki/dovecot}

    OPENSSLCONFIG=${OPENSSLCONFIG-/etc/pki/dovecot/dovecot-openssl.cnf}

    修改为

    OPENSSL=/usr/bin/openssl

    SSLDIR=/etc/pki/dovecot

    OPENSSLCONFIG=/etc/pki/tls/openssl.cnf

    删除公钥和私钥

    rm

    /etc/pki/dovecot/certs/dovecot.pem

    /etc/pki/dovecot/proivate

    然后执行创建证书的脚本

    sh

    mkcert.sh

    重启dovecot服务,使配置生效

    service dovecot restart

    利用mutt测试(普通用户,root用户不成功)

    创建.mutt的配置文件的文件夹

    mkdir

    .mutt

    编辑mutt配置文件

    vim

    muttrc

    set

    folder=imaps://cacti.example.com

    set

    spoolfile=imaps://cacti.example.com

    set

    imap_force_ssl=yes

    然后使用mutt连接,会提示证书信息,按o

    Lab3.3

    利用CA服务器生成一个新的RSA密钥对,并修改权限为600

    (umask

    077;openssl genrsa 1024 >

    dovecot.key)

    生成一个证书请求文件

    (umask

    077;openssl req –new –key dovecot.key –out dovecot.csr)

    查看证书

    openssl req –in dovecot.csr –noout –text

    在CA服务器上签署证书

    openssl ca –in dovecot.csr –out dovecot.crt

    在/etc/pki/CA/index.txt中查看证书的信息

    cat

    /etc/pki/CA/index.txt

    V表示可用的R表示吊销的

    将生成的公钥和私钥复制到dovecot的证书目录下

    cp

    ~/dovecot.key /etc/pki/dovecot/private/dovecot.pem

    cp

    ~/dovecot.crt /etc/pki/dovecot/certs/dovecot.pem

    重启dovecot服务

    Lab3.4

    如果不提示证书需要将/etc/pki/CA/my-ca.crt复制到非root账户的~/.mutt/下

    (如果提示没权限,可以使用root复制)

    同时在~/.mutt/muttrc中添加

    set

    certificate_file=~/.mutt/my-ca.crt

    Lab3.5

    在火狐浏览器中导入CA证书

    选择编辑—首选项—高级—加密—查看证书—导入

    导入CA证书(在/etc/pki/CA下)

    查看证书序列号和主题

    openssl x509 –in /etc/pki/dovecot/certs/dovecot.pem –noout

    –serial –subject

    现在的/etc/pki/CA/serial已经变为02

    查看/etc/pki/CA/index.txt

    状态是V

    cat

    /etc/pki/CA/index.txt

    吊销证书

    openssl ca –revoke /etc/pki/CA/newcerts/01.pem

    查看/etc/pki/CA/index.txt

    状态变为R

    产生吊销列表

    echo

    00 > /etc/pki/CA/crlnumber

    cd

    /etc/pki/CA/crl

    openssl ca –gencrl –out my-ca.crl

    查看证书吊销列表

    openssl crl –in my-ca.crl –noout –text

    将吊销列表转换成firefox或者是雷鸟可以识别的格式(DER格式)

    openssl crl –in my-ca.crl –outform DER –out

    my-ca-der.crl

    浏览器导入吊销列表

    选择撤销列表

    选择导入

    填写吊销列表网络访问路径

    展开全文
  • 引文 ...那就说明肯定是服务器环境下的证书出现的了问题 但是我在服务器上面使用curl https://www.baidu.com 又是没有问题的 为什么会这样子呢? 什么是双向认证模式?对于面向公众用户的https的

    引文

    我在安装php环境时。添加rpm源为rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm时
    然后安装php7.2时 提示这样一个错误 error(60) 对方网站证书过期

    然后我在本地环境下测试下载,是没有问题的。那就说明肯定是服务器环境下的证书出现的了问题
    但是我在服务器上面使用curl https://www.baidu.com 又是没有问题的

    为什么会这样子呢?

    什么是双向认证模式?对于面向公众用户的https的网站,大部分属于单向认证模式,它不需要对客户端进行认证,不需要提供客户端的个人证书,例如https://www.google.com。而双向认证模式,为了验证客户端的合法性,要求客户端在访问服务器时,出示自己的client certificate。

    很显然,我们请求的rpm源地址为双向认证的一个网站,所以我们的证书必须有效我们才能进行访问。

    在curl官网 https://curl.se/docs/caextract.html

    会定期更新我们的证书,所以这里的解决方案就是下载最新的证书来替换现在服务器的证书

    • 先找到服务器证书的保存位置
    curl-config --ca
    

    在这里插入图片描述
    找到后 下载最新的证书 来替代这个证书 https://curl.se/docs/caextract.html

    在这里插入图片描述
    替换之后 再去执行curl命令也就没有问题了

    因为很多软件运行在服务器上面都是基于curl来的 ,如果curl用不了 那么很多软件都会出问题。

    展开全文
  • Linux证书CA简介

    2021-01-04 19:50:55
    文章目录CA证书1 中间人攻击2 CA证书⭐3 安全协议SSL/TLS⭐1 TLS介绍2 SSL与TLS组成3 TLS实现过程⭐实现方式1⭐实现方式2 CA证书 1 中间人攻击 Man-in-the-middle,简称为 MITM,中间人 以上的各种加密措施,...

    CA和证书

    1 中间人攻击

    Man-in-the-middle,简称为 MITM,中间人

    以上的各种加密措施,前提条件都是【传输过程无任何问题】,实际上可能会被中间人替换数据

    【原理】A要发送加密数据给B,则A先要请求B的公钥,B传回公钥的过程中可能被替换!!!

    =

    2 CA和证书⭐

    【定义】证书 = 权威CA 认证的数字签名 + 公钥

    【作用】确保公钥传输过程的安全,证明公钥合法性!!!!!!!!

    • PKI:Public Key Infrastructure 公共密钥加密体系

    • 签证机构:CA(Certificate Authority)

    • 注册机构:RA(发起申请证书的对象,不一定是CA,可能是代理商,如阿里巴巴)

    • 证书吊销列表:CRL(对已经吊销的证书进行公布)

    【标准格式】X.509:定义了证书的结构以及认证协议标准

    • 版本号
    • 序列号
    • 签名算法
    • 颁发者
    • 有效期限
    • 主体名称

    【证书类型】

    • 证书授权机构的证书
    • 服务器证书
    • 用户证书

    获取证书两种方法:

    • 自签名的证书:自已签发自己的公钥
    • 由证书授权机构颁发:
      1. 生成证书请求(csr)
      2. 将证书请求 csr 发送给CA
      3. CA签名颁发证书

    注:CA自己的证书由上级CA颁发,根CA的证书由自己颁发(官方自签名)

    =

    3 安全协议SSL/TLS⭐

    是同一个概念

    • 早期名称:SSL(Secure Socket Layer)
    • 现阶段名称:TLS(Transport Layer Security)

    1 TLS介绍

    1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布

    2006:TLS 1.1 IETF(Internet工程任务组) RFC 4346,从2020年3月起,停止支持TLS 1.1及TLS 1.0版本安全协议,谷歌(Chrome)、Mozilla(Firefox)、微软(IE和Edge)、苹果(Safari)都会发布新版浏览器执行这个策略

    2008:TLS 1.2 当前主要使用

    2018:TLS 1.3


    【TSL的功能】

    • 机密性
    • 认证
    • 完整性
    • 重放保护(防止中间人截获替换)

    2 SSL与TLS组成

    工作在OSI模型的【传输层】和【应用层】之间

    是一个【协议栈】,包括:

    • Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换
    • ChangeCipherSpec 协议:一条消息表明握手协议已经完成
    • Alert 协议:对握手协议中一些异常的错误提醒,分为【fatal】和【warning】两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
    • Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等

    3 TLS实现过程

    实现分为【握手阶段】和【应用阶段】

    • 握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。
      后续通信使用的所有密钥都是通过MasterSecret生成
    • 应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

    ⭐实现方式1

    RSA 密钥交换、RSA 数字签名

    1. Visitor给出【协议版本号】、客户端【随机数1】、以及客户端【支持的加密方法】
    2. Server【确认】双方使用的加密方法,生成【随机数2】
    3. Server【发送数字证书】给Visitor
    4. Visitor通过'查看证书状态且查询证书吊销列表'确认数字证书有效,
    	并'使用信任的CA的公钥解密数字证书'获得Server的公钥,
    	然后生成一个新的46字节【随机数3】(称为'预备主密钥 Pre-master secret'),
    	并使用Server的公钥'加密预备主密钥'发给Server
    5. Server使用自己的私钥,解密Visitor发来的预备主密钥
    6. 此时Visitor和Server双方都具有了(客户端随机数1+服务端随机数2+预备主密钥3)
    	它们两者都根据'约定的加密方法',使用这三个随机数'生成对称密钥——主密钥'(也称为'对话密钥session key')
    7.双方验证完session key的有效性之后,SSL'握手机制就算结束了
    8.后续的对话过程都使用 session key 进行加密
    # 注:每相互通信一次,都重新计算出一个新的 session key !!!!!
    

    总结:

    1. 在SSL握手机制中,需要三个随机数(客户端随机数+服务端随机数+预备主密钥)
    2. 至始至终客户端和服务端只有【一次非对称】加密动作
    3. 上述SSL握手机制的【前提是单向验证】,即无需验证客户端
    4. 最关键的一点是Visitor要验证Server证书的有效性

    注:RSA 密钥交换有一个很大的问题:没有前向安全性Forward Secrecy。这意味着攻击者可以把监听到的加密流量先存起来,后续一旦拿到了私钥,之前所有流量都可以成功解密


    ⭐实现方式2

    ECDHE 密钥交换、RSA 数字签名

    目前大部分 HTTPS 流量用的都是 ECDHE 密钥交换

    【原理】ECDHE 是使用椭圆曲线(ECC)的 DH(Diffie-Hellman)算法

    【优势】相比 RSA 密钥交换,DH 由传递 Premaster Scret 变成了传递 DH 算法所需的 Parameter,然后双方各自算出 Premaster Secret。对于这种情况,由于 Premaster Secret 无需交换,中间人就算有私钥也无法获得 Premaster Secret 和Master Secret。

    【缺陷】虽然中间人拿到私钥也无法解密之前的流量,但可以实施 MITM 攻击来解密之后的流量

    【结论】保证私钥安全仍然是很重要的

    展开全文
  • 我的板子linux系统应该是已经安装了ca-certificates,这是用来管理ssl证书的一个软件,为了确认这一点,我运行了一下sudo update-ca-certificates命令,运行正常,最起码命令是有的,其他的就看看如何手动添加客户的...
  • Linux 创建CA证书

    千次阅读 2019-06-22 13:23:40
    有两台机器一个负责颁发...-x509:专用于CA生成自签证书 -key:生成请求时用到的私钥文件 -days n:证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 查看证书中的信息: openssl x509 -in /PATH/FROM...
  • [root@cs1 ~]# openssl genrsa -out ca.key 4096 Generating RSA private key, 4096 bit long modulus (2 primes) ...............................................................++++ ............................
  • CA搭建与证书申请

    2020-12-19 19:06:17
    一:创建私有CAopenssl的配置文件:/etc/pki/tls/openssl.cnf根据此配置文件创建CAdir:CA相关文件存放路径 /etc/pki/CAcerts:证书存放目录 /etc/pki/CA/certsdatabase:数据库文件 /etc/pki/CA/index.txtnew_c...
  • 根证书:也叫自签名证书、CA证书,由私钥直接生成,用于给其他的证书签名; 服务端证书:由CA证书签名后在服务端配置,比如nginx; 客户端证书:由CA证书签名后服务端保存,并发送给客户端进行配置; Tip:下面统一...
  • 在Ubuntu上,它很简单,您将证书放在一个文件夹中并运行命令以生成一系列链接,以将CA证书添加到证书路径.我不能为我的生活找到如何在CentOS上这样做.有很多关于信任随机证书的信息. (即:在/ etc / p...
  • LinuxCA服务

    2022-04-16 17:25:09
    本笔记来源:一起学加密(23)——证书是什么_哔哩哔哩_bilibili 23,证书是什么 ...这种用来签发证书的机构,我们称之为certificate authority(CA), 经由它签发的"文件" 我们称之为certificate证书。 ----.
  • ca证书制作脚本
  • 1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
  • Linux下申请安装CA证书

    2021-05-16 03:39:27
    certreq -alias localhost -sigalg MD5withRSA -file /www/server.csr -keystore /www/keystore.jks 导入证书 $JAVA_HOME/bin/keytool -import -v -trustcacerts -storepass changeit -alias my1_ca_root -file /...
  • Linux中架设CA证书中心.pdf
  • 文档包含一篇《openssl生成CA证书过程》及 openssl.cnf、*.key、*.pem、*.csr、*.crt文件共13个文件,按照文档的指导操作可以生成类似的文件。
  • linux系统导入CA证书

    万次阅读 2014-07-02 08:46:27
    因为众所周知的原因,同步android源码成了非常痛苦的事情。迫不得已采用了goagent,但是在同步时发生经常发生...网上找了一圈资料,最后明白根本的原因是系统中没有安装goagent的CA证书。这里的系统不是指firefox,
  • CA证书 PKI: Public Key Infrastructure  签证机构: CA( Certificate Authority) 注册机构: RA 证书吊销列表: CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名 ...
  • Linux(CA申请数字证书过程)

    千次阅读 2019-05-21 13:47:47
    1)在应用服务器上生成私钥 2)利用私钥生成证书请求文件,CSR文件 3)将CSR文件提交至CA 4)CA核实CSR 请求 5)CA签署数字证书 6)CA将签署的数字证书颁发给请求者 7)在应用服务器上部署数字证书 ...
  • 问题说明 最近在centos7上打算安装php7版本,需要下载一个外网https的yum源,结果... 执行命令 ... 报错 ...貌似是证书过期了。 解决方法 执行以下命令: yum install ca-certificates -y update-ca-trust extract ...
  • 本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书。
  • LinuxCA证书服务配置

    2013-03-19 17:40:49
    一、配置步骤: 1、配置环境,确认主机dns和apache服务能够正常服务 2、创建ssl.key和ssl.crt目录 3、建立主机凭证 4、启动服务 二、配置过程: cd /etc/httpd/conf mkdir ssl.key openssl genrsa -out ......
  • 基于Windows 2000 CALinux ready PK卡的证书申请.pdf
  • linux cfssl自签证书

    2020-12-02 20:37:41
    linux cfssl自签证书 1、安装 curl -s -L -o /usr/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /usr/bin/cfssl-json https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /...
  • 不同于生活中的颁发机构,这里的CA是给服务器颁发证书。颁发证书的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证书的目的也是证明我们服务...
  • Linux下使用openssl制作CA证书颁发一. 创建CA ................................................................................ 21. 创建CA需要用到的目录和文件: ............................... 22. 生成...
  • linux 证书有效期查看

    千次阅读 2021-10-05 16:34:06
    查看本地证书有效日期 openssl x509 -in ${cer-path} -noout -dates openssl 参数 x509 : Run certificate display and signing utility. -noout : Prevents output of the encoded version of the certificate. ...
  • 吊销证书1.客户端获取要吊销的证书的serial openssl x509 -in /path/from/cert_file -noout -serial -subject CA端先客户端提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致 吊销证书: ...
  • 问题说明邮件配置成POP3,但是在同步时发生SSL错误,意思是CA认证失败。根本的原因是系统中没有安装证书。操作步骤Although not all applications under GNU/Linux distributions respect this, the applications ...
  • BurpSuite CA证书安装(拦截HTTPS协议)

    千次阅读 2021-05-26 15:04:30
    一、CA证书介绍 目的:为了解密HTTPS流量   HTTPS为了传输数据加密安全性,在原有的HTTP协议上加入了套接字层SSL协议,并通过CA证书验证服务器身份,并对通信消息进行加密,为了抓取到HTTPS的数据流量一个重要的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 33,178
精华内容 13,271
关键字:

linuxca证书