当前位置：首页 >> 电脑培训 >> 云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

2023-05-24 19:30:06云计算培训培训

与其在家闲着，不如立即开始学习，当机遇爆发式来临时，能不能把握住，只看我们是否已经准备好了，是否足够强大。所以，现在开始，千锋900G+视频教程免费送！领取方式在下方留言即可，希望可以帮助你在“逆境”中成长，从容开启新的一年。下面给大家分享千锋云计算培训教程学习路线视频源码课件：构建私有的 CA 机构：

CA中心申请证书的流程:

过程： 1。web服务器,生成一对非对称加密密钥（web公钥，web私钥） 2。web服务器使用 web私钥生成 web服务器的证书请求，并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥对 web 服务器的证书请求进行数字签名得到 web服务器的数字证书，并将web服务器的数字证书颁发给web服务器。

1、CA 介绍

CA（Certificate Authority）证书颁发机构主要负责证书的颁发、管理以及归档和吊销。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。

2、构建私有 CA

1、检查安装 openssl

[root@https-ca ~]# rpm -qa openssl

云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

如果未安装

[root@https-ca ~]# yum install openssl openssl-devel -y

2、查看配置文件

openssl 配置/etc/pki/tls/openssl.cnf有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件，此配置文件对于证书申请者是无作用的。

[root@https-ca ~]# vim /etc/pki/tls/openssl.cnf

####################################################################

[ ca ]

default_ca = CA_default # 默认的CA配置；CA_default指向下面配置块

####################################################################

[ CA_default ]

dir = /etc/pki/CA # CA的默认工作目录

certs = $dir/certs # 认证证书的目录

crl_dir = $dir/crl # 证书吊销列表的路径

database = $dir/index.txt # 数据库的索引文件

new_certs_dir = $dir/newcerts # 新颁发证书的默认路径

certificate = $dir/cacert.pem # 此服务认证证书，如果此服务器为根CA那么这里为自颁发证书

serial = $dir/serial # 下一个证书的证书编号

crlnumber = $dir/crlnumber # 下一个吊销的证书编号

crl = $dir/crl.pem # The current CRL

private_key = $dir/private/cakey.pem# CA的私钥

RANDFILE = $dir/private/.rand # 随机数文件

x509_extensions = usr_cert # The extentions to add to the cert

name_opt = ca_default # 命名方式，以ca_default定义为准

cert_opt = ca_default # 证书参数，以ca_default定义为准

default_days = 365 # 证书默认有效期

default_crl_days= 30 # CRl的有效期

default_md = sha256 # 加密算法

preserve = no # keep passed DN ordering

policy = policy_match #policy_match策略生效

# For the CA policy

[ policy_match ]

countryName = match #国家；match表示申请者的申请信息必须与此一致

stateOrProvinceName = match #州、省

organizationName = match #组织名、公司名

organizationalUnitName = optional #部门名称；optional表示申请者可以的信息与此可以不一致

commonName = supplied

emailAddress = optional

# For the "anything" policy

# At this point in time, you must list all acceptable "object"

# types.

[ policy_anything ] #由于定义了policy_match策略生效，所以此策略暂未生效

countryName = optional

stateOrProvinceName = optional

localityName = optional

organizationName = optional

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

3、根证书服务器目录

根CA服务器：因为只有 CA 服务器的角色，所以用到的目录只有/etc/pki/CA

网站服务器：只是证书申请者的角色，所以用到的目录只有/etc/pki/tls

4、创建所需要的文件

[root@https-ca ~]# cd /etc/pki/CA/

[root@https-ca CA]# ls

certs crl newcerts private

[root@https-ca CA]# touch index.txt #创建生成证书索引数据库文件

[root@https-ca CA]# ls

certs crl index.txt newcerts private

[root@https-ca CA]# echo 01 > serial #指定第一个颁发证书的序列号

[root@https-ca CA]# ls

certs crl index.txt newcerts private serial

[root@https-ca CA]#

5、创建密钥

在根CA服务器上创建密钥，密钥的位置必须为/etc/pki/CA/private/cakey.pem，这个是openssl.cnf中中指定的路径，只要与配置文件中指定的匹配即可。

[root@https-ca CA]# (umask 066; openssl genrsa -out private/cakey.pem 2048)

Generating RSA private key, 2048 bit long modulus

...........+++

...............+++

e is 65537 (0x10001)

6、生成自签名证书

根CA自签名证书，根CA是最顶级的认证机构，没有人能够认证他，所以只能自己认证自己生成自签名证书。

[root@https-ca CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem -days 7300

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ".", the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:BEIJING

Locality Name (eg, city) [Default City]:BEIJING

Organization Name (eg, company) [Default Company Ltd]:CA

Organizational Unit Name (eg, section) []:OPT

Common Name (eg, your name or your server"s hostname) []:ca.qf.com

Email Address []:

[root@https-ca CA]# ls

cacert.pem certs crl index.txt newcerts private serial

-new: 生成新证书签署请求

-x509: 专用于CA生成自签证书

-key: 生成请求时用到的私钥文件

-days n：证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存路径

7、下载安装证书

/etc/pki/CA/cacert.pem就是生成的自签名证书文件，使用 SZ/xftp工具将他导出到窗口机器中。然后双击安装此证书到受信任的根证书颁发机构

[root@https-ca CA]# yum install -y lrzsz

[root@https-ca CA]# sz cacert.pem

云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

3、客户端CA 证书申请及签名

1、检查安装 openssl

[root@nginx-server ~]# rpm -qa openssl

如果未安装，安装 openssl

[root@nginx-server ~]# yum install openssl openssl-devel -y

2、客户端生成私钥文件

[root@nginx-server ~]# (umask 066; openssl genrsa -out /etc/pki/tls/private/www.qf.com.key 2048)

Generating RSA private key, 2048 bit long modulus

..............................+++

..........+++

e is 65537 (0x10001)

[root@nginx-server ~]# cd /etc/pki/tls/private/

[root@nginx-server private]# ls

www.qf.com.key

[root@nginx-server private]#

3、客户端用私钥加密生成证书请求

[root@nginx-server private]# ls ../

cert.pem certs misc openssl.cnf private

[root@nginx-server private]# openssl req -new -key /etc/pki/tls/private/www.qf.com.key -days 365 -out /etc/pki/tls/www.qf.com.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ".", the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:BEIJING

Locality Name (eg, city) [Default City]:BEIJING

Organization Name (eg, company) [Default Company Ltd]:QF

Organizational Unit Name (eg, section) []:OPT

Common Name (eg, your name or your server"s hostname) []:www.qf.com

Email Address []:

Please enter the following "extra" attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

[root@nginx-server private]# ls ../

cert.pem certs misc openssl.cnf private www.qf.com.csr

[root@nginx-server private]#

CSR(Certificate Signing Request)包含了公钥和名字信息。通常以.csr为后缀，是网站向CA发起认证请求的文件，是中间文件。

在这一命令执行的过程中，系统会要求填写如下信息：

云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

最后把生成的请求文件（/etc/pki/tls/www.qf.com.csr）传输给CA ,这里我使用scp命令，通过ssh协议，将该文件传输到CA下的/etc/pki/CA/private/目录

[root@nginx-server private]# cd ../

[root@nginx-server tls]# scp www.qf.com.csr 192.168.62.163:/etc/pki/CA/private

root@192.168.62.163"s password:

www.qf.com.csr 100% 997 331.9KB/s 00:00

4、CA 签署证书（在ca服务器上面操作）

使用/etc/pki/tls/openssl.cnf，修改organizationName=supplied

修改 /etc/pki/tls/openssl.cnf

[root@https-ca ~]# vim /etc/pki/tls/openssl.cnf

policy = policy_match

83 # For the CA policy

84 [ policy_match ]

85 countryName = match

86 stateOrProvinceName = match

87 organizationName = supplied

88 organizationalUnitName = optional

89 commonName = supplied

90 emailAddress = optional

CA 签署证书

[root@https-ca ~]# openssl ca -in /etc/pki/CA/private/www.qf.com.csr -out /etc/pki/CA/certs/www.qf.com.crt -days 365

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 1 (0x1)

Validity

Not Before: Jul 3 10:12:23 2019 GMT

Not After : Jul 2 10:12:23 2020 GMT

Subject:

countryName = CN

stateOrProvinceName = BEIJING

organizationName = QF

organizationalUnitName = OPT

commonName = www.qf.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

E3:AC:1A:55:2B:28:B9:80:DC:9C:C2:13:70:53:27:AD:3D:44:8F:D3

X509v3 Authority Key Identifier:

keyid:5D:2A:81:B2:E7:8D:D8:88:E5:7B:94:CA:75:65:9C:82:2B:A9:B2:3C

Certificate is to be certified until Jul 2 10:12:23 2020 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

证书通常以.crt为后缀，表示证书文件

2、查看生成的证书的信息

[root@https-ca ~]# openssl x509 -in /etc/pki/CA/ce

上一篇：鄂尔多斯市举办云计算与大数据知识培训会

下一篇：杭州云计算培训学习哪家好？千锋云计算培训助力高端人才培养

为全面贯彻落实2023年全区政法工作重点任务，进一步提升全区法院应用政法大数据智能化应用平台的能力和水平，10月20日，自治区高院针对全区政法大数据平台及规范量刑智能辅助系统的使用开展全面系统的实操培训。自治区高院党组副书记、副院长王旭军，···

贵州省生态环境厅电子政务中心举办2023年全省生态环境网络安全培训班

10月12日至13日，贵州省生态环境厅电子政务中心举办了2023年全省生态环境网络安全培训班，厅直属各单位和各市(州)生态环境局信息技术负责人现场参训，各区(县)生态环境分局通过视频会议参训。本次培训班强调，贵州省生态环境厅电子政务中心作为···

提升网络建设水平海南举办2023年电子政务网络安全专题培训

新海南客户端、南海网、南国都市报5月19日消息（记者姚皓）5月19日，海南2023年电子政务网络安全专题培训在澄迈举行，活动旨在加快推进海南省网络安全建设，加强全省党政机关单位网络安全防护水平，为海南自贸港、数字政府建设创造安全、有序、稳···

格尔木市气象局举办2023年网络安全培训班

10月27日，格尔木市气象局举办网络安全知识培训班，进一步加强网络安全宣传教育，营造安全、健康、文明、和谐的网络环境。格尔木市气象局全体干部职工通过线上或线下方式参加了此次培训。培训围绕网络安全、数据安全等方面展开，解读了当前国内外网络安全···

2023年黑龙江省网络安全宣贯培训会在哈尔滨召开

为贯彻落实中央网信办、公安部相关工作要求，推动党委（党组）网络安全工作责任制和关键信息基础设施安全保护制度深入落实，7月18日，由省委网信办、省公安厅联合举办的2023年黑龙江省网络安全专题培训暨《关键信息基础设施安全保护要求》国家标准宣贯···

京湾区数学建模与人工智能培训在澳门举办

8月25至26日，国家人工智能推广暨京湾区数学建模与人工智能培训在澳门培正中学及康桥教育中心举行。图为部分出席者25日在澳门培正中学合影。钟欣摄中新网澳门8月26日电国家人工智能推广暨京湾区数学建模与人工智能培训25日至26日在澳门培···

淘宝大学参与香港KOL培训赋能香港青年就业创业

中新社香港3月16日电 (记者史冰筠)香港青年电商促进会16日宣布，将同阿里巴巴旗下培训平台淘宝大学联合举办淘宝主播培训班，聘请淘宝大学专业的直播导师进行授课，希望赋能学员通过电商拓宽就业、创业渠道，带动香港电商发展。香港青年电商促进会在···

调查：近半香港企业开展新科技培训涵盖大数据等

中新网6月25日电据香港《文汇报》报道，香港的一项调查发现，46%受访企业于过去2年间，已开展和新科技有关的雇员培训，内容涵盖大数据、云端技术、物联网及人工智能等。香港人力资源管理学会公布香港培训调查报告。图片来源：香港《文汇报》/赵梦萦···

港媒：近半香港企业开展新科技培训涵盖大数据等

据香港《文汇报》报道，香港的一项调查发现，46%受访企业于过去2年间，已开展和新科技有关的雇员培训，内容涵盖大数据、云端技术、物联网及人工智能等。香港人力资源管理学会公布香港培训调查报告。图片来源：香港《文汇报》/赵梦萦摄香港人力资源管理···

自治区司法厅举办全区司法行政系统网络安全和信息化建设工作能力提升培训班

为深入学习贯彻党的二十大精神和习近平新时代中国特色社会主义思想，贯彻落实习近平总书记对网络安全和信息化工作的重要指示和全国网络安全和信息化工作会议精神，推动全区司法行政系统网络安全和信息化建设工作高质量发展，9月19日—20日自治区司法厅组···

2021年甘肃省网络安全管理员培训班在兰开班

中国甘肃网12月27日讯（本网记者李红军任磊）今天上午，由甘肃省委网信办主办、兰州大学国家大学科技园承办的2021年甘肃省网络安全管理员培训班在兰州开班。省委网信办副主任刘宗礼出席开班仪式并作动员讲话，兰州大学网信办主任、信息科学与工程···

数据库使用方法系列培训活动之二｜台湾月旦知识库线上讲座

会议主题：西北政法大学【月旦知识库】教育训练会议时间：2022/01/18 15:30-17:30 (GMT+08:00) 中国标准时间 - 北京点击链接入会，或添加至会议列表：https://meeting.tencent.com/dm/···

2023年1 X大数据平台运维证书省级师资培训在河南开放大学举办

7月13日上午，2023年1+X“大数据平台运维证书”省级师资培训在河南开放大学（郑州信息科技职业学院）开班，此次培训由河南省教育厅主办，郑州信息科技职业学院承办。河南开放大学（郑州信息科技职业学院）副校长李小明、培训学院院长张颖、信息工程···

【国家网络安全宣传周】福安市开展网络安全培训

为进一步提升网络安全管理工作水平，增强广大干部网络安全风险防范能力，9月12日下午，福安市开展网络安全培训，福安市各乡镇（街道）、市直单位网络安全业务人员90余人参加培训。本次培训邀请了奇安信福建分区网络安全技术人员郑泽辉进行授课。现场培训···

花溪区开展教育系统网络安全培训

7月4日，由花溪区委网信办指导，区教育局主办的花溪教育系统数据安全培训在溪南高中举行，全区公民办中小学、幼儿园、中职学校相关人员300余人参训。培训邀请网络工程师对数据安全文件进行解读，并通过真实案例介绍了数据安全的问题及处置方法以及数据安···

2023年广西招商引资大数据平台（二期）专题培训会在邕召开

8月24日，2023年广西招商引资大数据平台(二期)专题培训会在南宁召开。培训会邀请大数据招商专家对平台新增功能及使用操作进行讲解，并介绍近年招商工作趋势和产业发展特点，分享大数据招商工作经验和典型案例。全区各市、县区、园区招商业务骨干和自···

云南粉笔：依托大数据智能分析打造公考培训新标准

2023年9月2日，云南粉笔在昆明举行了盛大的省考产品发布会，吸引了来自全国各地的教育专家、媒体代表以及公考学子齐聚一堂。本次发布会上，粉笔推出最新研发的省考培训产品，将线上与线下课堂相结合，依托大数据智能分析，打造公考培训新标准。云南粉···

2023年度室内设计1 X证书师资及考评员培训（黑龙江站）成功举办

2023年8月21日-25日，为提升试点院校“室内设计职业技能等级证书”教育培训质量，积极推动2023年度证书试点工作顺利开展，由中国室内装饰协会主办、哈尔滨职业技术学院承办、黑龙江省室内装饰协会协办的“2023年度全国室内设计职业技能等级···

昆明经开区开展2023年春漫社区老年人智能手机使用暨网络安全培训活动

来源：【昆明日报-掌上春城】掌上春城讯 “五社联动送服务，点亮民生微幸福”。8月17日，昆明经济技术开发区青年志愿者协会党支部在春漫社区组织开展“融入智能e时代健康银龄新生活”老年人智能手机使用暨网络安全培训活动。本次培训活动围绕老年人日···

2023年全省“十四五”全民健康信息化与网络安全培训班举办

5月11日—12日，2023年全省“十四五”全民健康信息化与网络安全培训班在张家口市举办。省卫生健康委二级巡视员范素文出席会议并讲话。培训班总结了2022年网络安全和信息化工作，安排了2023年重点工作。培训班邀请国家和省内有关专家对卫生健···

云计算培训教程学习路线视频源码课件：构建私有的 CA 机构

相关推荐

相关内容