目錄

創(chuàng)新互聯(lián)公司主營(yíng)慶城網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都App定制開發(fā),慶城h5微信小程序開發(fā)搭建,慶城網(wǎng)站營(yíng)銷推廣歡迎慶城等地區(qū)企業(yè)咨詢

1???? CA架構(gòu)說明

1.1????? 名詞說明

1.2????? 信任關(guān)系說明

2???? 證書在windows服務(wù)中的具體使用方式

3???? Openssl實(shí)現(xiàn)CA體系的操作方法

3.1????? 使用自簽名證書自建CA(在CA端操作)

3.2????? 在客戶端生成證書申請(qǐng)文件(在APP端操作)

3.3????? 在CA端頒發(fā)證書

3.4????? 具體案例測(cè)試

3.4.1?????? 環(huán)境介紹

3.4.2?????? Centos19安裝配置nginx

3.4.3?????? nginx使用自簽名啟用ssl認(rèn)證

3.4.4?????? 使用windows01訪問測(cè)試---預(yù)期效果證書不信任

3.4.5?????? windows01添加對(duì)自簽名證書的信任

3.4.6?????? 使用windows01訪問測(cè)試---預(yù)期效果證書信任

3.4.7?????? 在centos18上創(chuàng)建CA

3.4.8?????? 使用CA頒發(fā)證書并綁定到nginx

3.4.9?????? 使用windows01訪問測(cè)試---預(yù)期效果證書不信任

3.4.10???? windows01添加對(duì)CA(centos18)的信任

3.4.11???? 使用windows01訪問測(cè)試---預(yù)期效果證書信任

1???? CA架構(gòu)說明

1.1?? 名詞說明

CA：證書頒發(fā)機(jī)構(gòu)，類似與工商局，專門發(fā)放證書的機(jī)構(gòu)，只有得到了CA頒發(fā)的證書應(yīng)用才能正常對(duì)外提供服務(wù)

公鑰：顧名思義，公共的秘鑰，安全性要求不高，可以共享出來給大家使用

私鑰：私有的秘鑰，只能自己使用，需要防止泄露

公鑰和秘鑰的關(guān)系：公鑰和秘鑰成對(duì)出現(xiàn)，互相認(rèn)證，即我的公鑰加密的文件只能我的秘鑰解開，我的秘鑰加密的文件只能我的公鑰解開，每個(gè)個(gè)體(可以是用戶或者主機(jī))都可以擁有一對(duì)。

證書：采用公鑰秘鑰的特性生成的一種文件，由CA頒發(fā)出來的，類似于營(yíng)業(yè)執(zhí)照

1.2?? 信任關(guān)系說明

如上圖，APP可以是Web server或者其他的應(yīng)用程序，PC代指瀏覽APP所提供服務(wù)的設(shè)備包括電腦手機(jī)等設(shè)備。PC訪問APP時(shí)(ssl認(rèn)證)需要驗(yàn)證APP綁定的證書的真實(shí)性，而證書是由CA頒發(fā)的，此時(shí)PC只要信任CA即可，信任的方式為將CA的自簽名證書加入到電腦的“受信任的證書頒發(fā)機(jī)構(gòu)”?？梢酝ㄟ^windows的控制臺(tái)或者IE瀏覽器中的設(shè)置查看電腦信任了哪些CA，如下查看方式

打開”internet選項(xiàng)”—“內(nèi)容”---“證書”---“受信任的根證書頒發(fā)機(jī)構(gòu)”可以看到微軟已經(jīng)幫我們信任好了一些公共的CA。

一般找這里面列出來的CA組織申請(qǐng)證書都是需要費(fèi)用的，所以大家經(jīng)常會(huì)在訪問網(wǎng)頁(yè)時(shí)會(huì)發(fā)現(xiàn)安全證書的警告，這個(gè)一般是組織內(nèi)部CA頒發(fā)的或者是自簽名證書。自簽名證書就是通過將CA與APP所在的服務(wù)器合二為一的方式實(shí)現(xiàn)的。

#上面的操作是windows系統(tǒng)，如果是RedHat系統(tǒng)可以使用如下方式添加對(duì)CA的信任

cat [根證書文件] >> /etc/pki/tls/certs/ca-bundle.crt

2???? 證書在windows服務(wù)中的具體使用方式

由于作者前期是從事Windows運(yùn)維相關(guān)的工作，先簡(jiǎn)單介紹一下CA在windows AD中的應(yīng)用。

在AD環(huán)境中一般會(huì)需要架設(shè)一臺(tái)CA供其他需要證書加密的服務(wù)使用，CA架設(shè)(集成AD架設(shè)的方式)完成之后域中的所有windows設(shè)備都會(huì)自動(dòng)信任該CA，域中的所有設(shè)備和所有用戶都可以向CA申請(qǐng)證書。申請(qǐng)證書的方式有兩種，一種是登錄CA提供的網(wǎng)頁(yè)申請(qǐng)，另一種如下：

“開始”---“運(yùn)行”---“輸入mmc回車”---“文件”---“添加刪除管理單元”---“證書”如下圖

可以使用用戶或者主機(jī)的名義去申請(qǐng)，這里選擇我的用戶賬戶

右鍵“個(gè)人”---“所有任務(wù)”---“申請(qǐng)新證書”點(diǎn)擊下一步

在這個(gè)界面需要在CA端定義了注冊(cè)策略之后，這里就會(huì)顯示注冊(cè)策略，選擇相應(yīng)的注冊(cè)策略之后申請(qǐng)就會(huì)被提交到CA，在CA端進(jìn)行證書頒發(fā)之后在證書這一列就會(huì)顯示出來證書了

這里就簡(jiǎn)單的介紹了一下windows AD環(huán)境中的證書申請(qǐng)方法，如果CA是使用第三方工具如openssl等工具搭建的，具體的操作方法也可能會(huì)有一些差異

3???? Openssl實(shí)現(xiàn)CA體系的操作方法

3.1?? 使用自簽名證書自建CA(在CA端操作)

#創(chuàng)建私鑰

openssl genrsa -out cakey.pem 4096?

#使用上面的私鑰創(chuàng)建證書，這個(gè)證書被稱為根證書，一臺(tái)電腦將這個(gè)證書導(dǎo)入到“受信任的根證書頒發(fā)機(jī)構(gòu)”后就相當(dāng)于信任的這個(gè)CA

openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650

3.2?? 在客戶端生成證書申請(qǐng)文件(在APP端操作)

#生成私鑰

openssl genrsa -out app.key 4096

#生成證書申請(qǐng)文件,實(shí)際上是生成了一個(gè)自簽名證書，只是后面需要拿給CA簽名

openssl req -new -x509 -key app.key ?-out app.csr -days 3650

3.3?? 在CA端頒發(fā)證書

#將上一步生成的私鑰拷貝到CA端，執(zhí)行如下操作

openssl ca -in httpd.csr -out httpd.crt -days 3650

#證書生成完成后可以通過如下命令查看證書

Openssl x509 -in httpd.crt -noout -serial -subject

3.4?? 具體案例測(cè)試

3.4.1 環(huán)境介紹

Centos18：CA

Centos19：運(yùn)行了nginx，并開啟ssl模塊，向CA申請(qǐng)證書

Windows01：做實(shí)驗(yàn)的windows電腦，命名為windows01

3.4.2 Centos19安裝配置nginx

使用源碼安裝太麻煩，直接使用epel的yum源來安裝,如下yum源供參考，具體的安裝步驟就不多做介紹了

3.4.3 nginx使用自簽名證書啟用ssl認(rèn)證

#創(chuàng)建私鑰

openssl genrsa -out httpd.key 1024?

#使用上面的私鑰創(chuàng)建證書

openssl req -new -x509 -key httpd.key -out httpd.crt -days 3650

將私鑰和證書的路徑填入/etc/nginx/nginx.conf中的如下字段，這些字段默認(rèn)是注釋掉的，需要去掉注釋

3.4.4 使用windows01訪問測(cè)試---預(yù)期效果證書不信任

訪問https://centos19發(fā)現(xiàn)證書錯(cuò)誤

查看證書詳情可以看到是由centos19自己頒發(fā)的證書，并且不受信任

3.4.5 windows01添加對(duì)自簽名證書的信任

添加信任可以直接將3.4.3中生成的證書拷貝到windows01中進(jìn)行安裝，或者直接在網(wǎng)頁(yè)中查看證書時(shí)安裝(這種方式在有些情況下可能不適用)。下面介紹一下第二種方式

如圖查看證書，安裝證書---下一步

選擇存儲(chǔ)位置為“受信任的根證書頒發(fā)機(jī)構(gòu)”

安裝完成之后,就添加了對(duì)centos19的信任了

3.4.6 使用windows01訪問測(cè)試---預(yù)期效果證書信任

重新訪問網(wǎng)頁(yè)查看發(fā)現(xiàn)沒有報(bào)錯(cuò)了

3.4.7 在centos18上創(chuàng)建CA

創(chuàng)建所需的目錄和文件，這些文件目錄的配置都在/etc/pki/tls/openssl.conf中定義

然后按照3.1中的方法創(chuàng)建CA的私鑰和證書如下

#創(chuàng)建私鑰

openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096?

#使用上面的私鑰創(chuàng)建證書，這個(gè)證書被稱為根證書，一臺(tái)電腦將這個(gè)證書導(dǎo)入到“受信任的根證書頒發(fā)機(jī)構(gòu)”后就相當(dāng)于信任的這個(gè)CA

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

3.4.8 使用CA頒發(fā)證書并綁定到nginx

#在centos19上生成私鑰

openssl genrsa -out httpd.key 4096

#在centos19上生成證書申請(qǐng)文件

openssl req -new -key httpd.key -out httpd.csr -days 3650

#編輯nginx配置文件/etc/nginx/nginx.conf,將新申請(qǐng)的私鑰和證書綁定到nginx

使配置生效

Nginx -s reload

3.4.9 使用windows01訪問測(cè)試---預(yù)期效果證書不信任

訪問https://centos19發(fā)現(xiàn)證書不信任

查看證書發(fā)現(xiàn)證書是由centos18頒發(fā)給centos19的，證明是CA頒發(fā)的證書

3.4.10????????? windows01添加對(duì)CA(centos18)的信任

將3.4.7中CA生成的自簽名證書文件cakey.pem拷貝到windows01上，但是需要將后綴名修改為crt，將這個(gè)證書文件導(dǎo)入到“受信任的根證書頒發(fā)機(jī)構(gòu)”

打開這個(gè)文件并導(dǎo)入，如下圖可以看出該根證書文件的確是由CA(centos18)頒發(fā)給自己的。

做完該操作之后就信任了CA了，以后CA頒發(fā)的所有證書都不用再單獨(dú)做信任關(guān)系了。

3.4.11????????? 使用windows01訪問測(cè)試---預(yù)期效果證書信任

完成上一步操作之后，再次訪問頁(yè)面已經(jīng)沒有證書警告了

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：CA體系結(jié)構(gòu)介紹與Openssl的使用-創(chuàng)新互聯(lián)
URL鏈接：http://aaarwkj.com/article0/pppio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、品牌網(wǎng)站制作、網(wǎng)站收錄、網(wǎng)站制作、用戶體驗(yàn)、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)