一、什么是CA

創(chuàng)新互聯(lián)公司長期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為西塞山企業(yè)提供專業(yè)的網(wǎng)站設(shè)計制作、成都網(wǎng)站建設(shè)，西塞山網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

    CA就像工商局，CA證書就是給商戶頒發(fā)的經(jīng)營許可證，是互聯(lián)網(wǎng)上頒發(fā)給各個站點的身份認證牌照。例如，我們輸入www.xxx.com后出現(xiàn)的網(wǎng)站，我們怎么知道它是不是安全的？怎么知道它就是我們要登錄的網(wǎng)站呢？如果它有CA證書，并且我們電腦里存了它的證書，那么就可以判斷它是安全可靠的。

二、CA證書里有哪些內(nèi)容？

    x509標準定義了CA證書的內(nèi)容，以下是三個版本的比較

   

三、如何獲取CA證書

    既然CA證書對于網(wǎng)上公共節(jié)點這么重要，那么怎么獲得它呢？

    要獲得CA證書像CA注冊機構(gòu)申請就可以了，但是要花錢，一年也沒多少錢，普通用戶不需要CA,只有     那些需要得到網(wǎng)絡(luò)社會認可的網(wǎng)站，站點、平臺才需要CA認證。

    但是有沒有不花錢的免費CA呢？

    我們可以自己創(chuàng)建一個CA,然后自己給自己頒發(fā)證書。但是這樣做有什么意義呢？對于小公司和普通     用戶來說當然沒多大意義了，但是有牛逼的公司就敢這么干，例如壟斷企業(yè)，他自己給自己頒發(fā)證     書，你信也好不信也好，反正它壟斷了資源，你不信也沒辦法。

    例如 12306，我們打開它的時候提示證書不受信任對不對？它就是自己給自己頒發(fā)了證書，它說：“你愛信不信，反正沒有第二家賣火車票的網(wǎng)站了”

四、學習12306建立自己的CA

    在linux中我們要使用OpenSSL安裝包來實現(xiàn)建立私有CA

    步驟：

    1.生成私有密鑰

          私鑰用于簽發(fā)證書時，向證書添加數(shù)字簽名時使用

    2.生成自簽署證書

          每個通信方都導入此證書至“受信任的證書頒發(fā)機構(gòu)”

    3.配置文件

      /etc/pki/tls/openssl.cnf

    4.工作目錄

      /etc/pki/CA/

 

五、建立CA詳細步驟

    1、生成私有密鑰到/etc/pki/CA/private

    

    2、生成自簽證書到/etc/pki/CA/

      假如我們的公司在中國鄭州叫alibaba,公司的號碼123456，網(wǎng)站叫www.alibaba.com,郵箱是wuhf123@126.com

   

    3、提供必要的輔助文件以便將來別人向我申請證書時或撤銷證書時，我可以自動記錄他們的信息

       （1）在/etc/pki/CA/下創(chuàng)建index.txt文件

      

        （2）創(chuàng)建/etc/pki/CA/serial文件，并向其內(nèi)添加一個開始序號

---

六、向CA申請證書

    假如我們的公司叫wuhfnet,網(wǎng)站叫www.wuhfnet.com

    1.生成自己的私鑰

    

    2.生成證書簽署請求文件

     openssl req -new -key .. -out .. -days ..

     證書簽署請求里面的選項除了common name一項填寫自己的網(wǎng)站外，其余的必須與CA簽發(fā)機構(gòu)一致

    3.把請求文件發(fā)送給CA

     用優(yōu)盤拷過去或者郵件發(fā)過去，就像你送《工商許可能申請》到工商局一樣。

---

七、CA簽發(fā)證書

    1.驗證請求者身份信息

      就像工商局接到申請，然后去你公司審查你的資格一樣

    2.簽署證書

   openssl ca -in .. -out .. -days ..

    3.把簽好的證書發(fā)還給請求者

---

八、吊銷證書

    1、獲取吊銷證書的序列號

    

    2、吊銷證書

    openssl ca -revoke /PATH/FROM/CRT-FILE

  

    3、生成吊銷編號

    echo 01 > /etc/pki/CA/crlnumber

新聞標題：使用OpenSSL構(gòu)建私有CA
URL標題：http://aaarwkj.com/article20/gjipjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、品牌網(wǎng)站制作、定制開發(fā)、網(wǎng)站設(shè)計公司、關(guān)鍵詞優(yōu)化、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)