创建私有CA 颁发免费的CA证书

最新推荐文章于 2025-06-09 15:58:17 发布
最新推荐文章于 2025-06-09 15:58:17 发布
阅读量4.7k 收藏 5
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jieranjieran/article/details/78116443
本文介绍如何通过openssl创建私有CA并进行证书管理,包括生成私钥、自签名证书、颁发证书、吊销证书等流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

证书申请及签署步骤:

          1、生成申请请求 

          2、RA核验 

          3、CA签署

          4、获取证书


创建私有CA

           要用到的命令openssl
           openssl的配置文件:/etc/pki/tls/openssl.cnf
三种策略:匹配、支持和可选
           匹配指要求申请填写的信息跟CA设置信息必须一致

           支持指必须填写这项申请信息

           可选指可有可无
 1、创建所需要的文件
          touch /etc/pki/CA/index.txt 生成证书索引数据库文

          echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

查看openssl 的配置文件,我们发现里面指定了创建CA时的目录文件,我们可以用tree命令查看/etc/pki/CA下的文件目录,发现缺少必要的文件所以要创建以上两个文件。

          

 2、CA自签证书
        ·A 生成私钥
         cd  /etc/pki/CA/
        (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
        

私钥必须保存在/etc/pki/CA/private/cakey.pem 这个也是配置文件指定的

       ·B生成自签名证书

       openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

       

       -new: 生成新证书签署请求
       -x509: 专用于CA生成自签证书
       -key: 生成请求时用到的私钥文件
       -days n:证书的有效期限
       -out /PATH/TO/SOMECERTFILE: 证书的保存路径

3、颁发证书
      • A 在需要使用证书的主机生成证书请求
       给web服务器生成私钥
      (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)

      

      生成证书申请文件
      openssl req -new -key /etc/pki/tls/private/test.key-days 365 -out etc/pki/tls/test.csr

     

     注意:默认国家,省,公司名称三项必须和CA一致

     • B 将证书请求文件传输给CA传给能颁发证书的主机

     

     • C CA签署证书,并将证书颁发给请求者
     openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365

     

     • D 查看证书中的信息:
     openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
     openssl ca -status SERIAL 查看指定编号的证书状态

     

        

      

把签署的证书用sz命令拷贝到Windows桌面,然后修改后缀名为.cer就可以查看证书了

恩目前为止已经建立私有CA,颁发完成了!

奋斗

 4、吊销证书
      • A 在客户端获取要吊销的证书的serial
       openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject 

            
     • B 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:
       openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
     • C 指定第一个吊销证书的编号
        注意:第一次更新证书吊销列表前,才需要执行
        echo 01 > /etc/pki/CA/crlnumber
    · D 更新证书吊销列表
       openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
5、查看crl文件
    openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

jieranjieran
关注
申请免费的公信CA签发的服务器站点证书(无需注册, 无需等待)
岁月染过的梦的博客
03-14 1944
申请免费的公信站点证书
Let‘s Encrypt & Certbot免费获取CA证书
qq_47373765的博客
02-09 956
C● Let’s Encrypt是非营利团队,因此颁发证书免费使用。● Let’s Encrypt发行的证书的有效期限是90天。● DNS解析已完成(A记录),可以使用nslookup解析查看● 关闭web服务(Nginx或者Apache等)相关命令需在服务器上操作yum install -y certbot epel-release #工具及相关依赖接着会出现类似界面。
申请免费CA证书
weixin_43110668的博客
02-09 1845
https://blog.csdn.net/weixin_45553150/article/details/117026994
自建CA并生成自签名SSL证书
最新发布
RayPick的博客
06-09 243
相信点进这篇文章的人应该知道为什么要自建CA和自签名SSL证书了,因为买现成的SSL证书挺贵的,SSL证书通常有三种类型:域名级(DV)、企业级(OV)、增强级(EV),价格从每年几百元到上万元不等,再细分的话还有单域名证书、通配符证书、多域名证书等等,有些证书还可以追加域名。
免费CA证书系统
10-25
一个免费的开源的CA 证书签发系统,仅供参考和学习使用
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 531
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
11-29
CentOS8 创建私有CA证书服务器,颁发证书,吊销证书
建立私有CA实现证书颁发脚本
你是遥远的星河
02-07 333
建立私有CA实现证书颁发脚本 #!/bin/bash read -p "指定CA证书名称" NAME #安装expect命令 rpm -q expect &> /dev/null || yum -y install expect &> /dev/null #创建所需文件 if [ ! -d /etc/pki/CA ]; then mkdir -p /etc/pki/...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1726
CA证书 CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
创建私有CA证书颁布详解
Joah_li的博客
09-06 4017
一、CA证书简介 CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 4811
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
搭建私有CA
sxy2475的博客
09-09 4190
搭建私有CA 搭建私有CA 前言 什么是CA 什么是CA证书 获取CA证书两种方法 opensslcnf文件 搭建CA认证中心 申请证书 颁发证书 吊销证书 前言 什么是CA CA是Certificate Authority的缩写,也叫“证书授权中心”。 在web访问中为了保证web内容在网络中的安全传输,就需要用到SSL证书。而想要获得SSL证书就需要得到
阿里云代理商:阿里云免费CA证书部署
聚搜营销
01-10 689
通过该服务,用户可以免费获得符合行业标准的SSL证书,提升网站的安全性和可信度。阿里云的优势在于其全球分布式数据中心网络、强大的资源扩展能力、高级的安全保障机制、丰富的产品线以及良好的性价比。通过以上步骤,用户可以轻松地完成阿里云免费CA证书的部署,保障网站的安全性和信任度。将生成的证书文件下载到本地,然后登录阿里云控制台,在域名解析页面找到需要安装证书的域名,点击设置SSL证书,选择上传证书文件,将下载的证书文件进行上传。登录阿里云官网,在SSL证书服务页面选择免费证书,并填写相关信息,如域名、邮箱等。
生成CA免费证书-整理
zdpyouzhe的专栏
07-07 1338
转自:https://blog.csdn.net/weixin_30544657/article/details/97775898 1.环境: OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 2. 生成CA证书 2.1.准备ca配置文件,得到ca.conf [ re...
申请免费startcom的ssl证书/CA证书
php小松
03-11 4161
最近有人问小松ssl证书/CA证书用的是哪个,有没有申请的教程,今天针对群里的同学提的问题,来写这个文章 小松用的是startcom的免费证书 官方网站: https://www.startssl.com/ 主要是本来要使用沃通的免费证书,但是目前已经不能申请了,给出的公告为 对不起,基于安全考虑,WoSign决定暂时关闭免费SSL证书的申请。2016年9月29日。 请访问https://www.
免费CA证书申请方法
weixin_34270606的博客
02-02 2047
申请 SSL证书的前提是有一个域名且备案了 第一步 免费 CA 证书购买地址(请戳这里) 选择合适的选项如下图 购买后会看到下图信息 选择信息补全如下图 填写对应的域名提交后如下图 填写整正确的个人信息后提交 上一步中,若注册的域名在阿里云那么平台可以自动填写 DNS 解析验证这个域名确实是我们的,接下来不管选择了什么,进入域名的解析页面查看解...
阿里云申请免费CA认证
Fouy_风度玉门。
07-16 2260
今天说一下在阿里云上面给域名申请免费CA证书,不过这里面的域名只能针对于单个域名,也就是要么是www.moguhu.com,要么是moguhu.com。 首先在阿里云控制台里面找到CA证书服务,如下所示: 然后点击右上角的“购买证书”: 然后选择 保护类型:“1个域名”、选择品牌:“Symantec”,然后才能选择“免费型OV SSL”,最后如下所示: 确认订单后...
ca 自建 颁发证书_自建 ca 及使用 ca 颁发证书
weixin_40004057的博客
12-22 515
创建CA:一、安装openssl[root@localhost ~]# yum install -y openssl二、创建CA的相关文件及目录mkdir /opt/root_ca &&\cd root_ca&&\mkdir newcerts private crl &&\touch index.txt &&\touch serial...
通过阿里云申请免费CA证书让nginx支持https
leejianjun的博客
02-28 1136
1、通过阿里云 管理控制台 安全(云盾) CA证书服务(数据安全)申请免费证书【有效期一年】根据提示,做设置DNS等操作,待自动审核通过后,下载证书,放到/etc/nginx/cert/注:我这是选择了两个文件,阿里云解析。2、然后,修改nginx的server设置#vi /etc/nginx/vhost.conf server { listen 44...
使用OpenSSL创建私有CA证书安全实践
在开发环境中,使用私有CA签发的证书比使用自签名证书更可取,因为它能提供更好的身份验证和安全性。此外,私有CA还支持客户端证书,实现双向验证,这在处理敏感Web应用时能显著提升安全性。 运行私有CA时,安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值