CA证书

学习CA证书认证网络,记录个流水账以便日后可用 我文中使用的域名是内部的,你也可以自己搭建一个网络,使用一样的域名. 注意:三端在生成证书的时候填写的国家,省,市,组织名 这些信息要一致!除了web服务端填写的域名 终端表 终端名称 IP地址 简介 根CA 10.35.176.1 一个CA证书网络的中心,所有证书的最终信用保证 子CA 10.35.176.8 该终端需要向根CA获取一个子CA证书,该终端的主要职责是签发SSL服务端证书给数据服务端.不一定要有这个终端. web服务端 10.35.176.6(域名:linzopi.vpn) 向子CA领取一个web服务端证书.用于加密数据发给最终用户终端. 最终用户终端 10.35.176.5 数据的最终接收者,该设备向CA查询证书是否为真,以确保数据是由真正的数据服务端发出. 根CA配置 创建目录结构 mkdir /etc/pki mkdir /etc/pki/tls mkdir /etc/pki/CA mkdir /etc/pki/CA/private mkdir /etc/pki/CA/newcerts touch /etc/pki/CA/index.txt #生成证书索引数据库文件 echo 01 > /etc/pki/CA/serial #指定第一个颁发证书的序列号 写配置文件 vim /usr/lib/ssl/openssl

HTTPS协议握手过程： 1，客户端明文请求，把自己支持的非对称加密算法（用于使用CA证书公钥加密计算生成协商密钥的随机数per_master）、对称加密算法（用于以后使用协商密钥加密传输内容）、验证数据完整性的HASH算法、随机数Random_C发给服务器。 2，服务器发回客端的明文信息，包含选择一套加密算法、HASH算法、CA证书、随机数Random_S。CA证书中包含服务器地址、公钥、证书颁发机构信息和签名。 3，客户端做五件事：　　 　　a)对证书合法性、证书中包含的地址与正在访问的地址是否一致等进行校验； 　　b)生成一串随机数密码pre_master，并使用服务器选择的非对称加密算法和CA证书里的公钥对pre_master加密，得到enc_pre_master； 　　c)计算协商密钥enc_key=Func(random_C,random_S,pre_master)； 　　d)使用约定好的HASH验证算法计算握手信息，用协商密钥enc_key及约定好的加密算法对握手消息加密。 　　e)客户端发送enc_pre_master、同意使用约定的算法和协商密钥通信、加密的握手信息给服务器。 4，服务器收到数据做五件事： 　　a)用自己的私钥解密enc_pre_master，得到pre_master； 　　b)计算协商密钥enc_key=Func(random_C,random

wstngfw IKEv2服务器配置示例 移动客户端的服务器配置有几个组件： 为***创建一个证书结构 配置IPsec移动客户端设置 为客户端连接创建阶段1和阶段2 添加IPsec防火墙规则 创建***的用户凭据 ipsec连接测试 ipsec故障排除 ipsec日志说明 1. 配置 Shenzheng 站点的设备 a. 创建一个证书颁发机构 b. 创建一个服务器证书 c. 配置IPsec移动客户端设置 d. 创建IPsec的阶段1和阶段2 e. 创建IPsec移动用户 f. 添加IPsec防火墙规则 g. 导出CA证书 2. 配置 Beijing 站点内网客户端 Windows 7 主机系统 a. 安装CA证书 至 受信任的根证书颁发机构 b. 创建连接到工作区的网络 c. 验证隧道连通性 相关日志 注意： 请按以下步骤添加CA证书 1. 开始菜单搜索“cmd”，打开后输入 mmc（Microsoft 管理控制台）; 2. “文件”-“添加/删除管理单元”，添加“证书”单元; 3. 证书单元的弹出窗口中一定要选“计算机账户”，之后选“本地计算机”，确定; 4. 在左边的“控制台根节点”下选择“证书”-“个人”，然后选右边的“更多操作”-“所有任务”-“导入”打开证书导入窗口; 5. 选择刚才生成的ca.cert.cer文件。下一步“证书存储”选“个人”; 6. 导入成功后

一、在IIS中生成Certificate Signing Request (CSR) 个人理解：生成CSR就是生成“私钥/公钥对”之后从中提取出公钥。 1. 打开IIS Manager，在根节点中选择Server Certificates（服务器证书），点击右侧的Create Certificate Request...，然后填写相应的Distinguished Name Properties（见下图）。 Common name中填写域名（如果用于所有二级域名，填*.域名），Organization中公司名称，Organizational unit填写部门名称。 2. 在Cryptographic service provider中选择Microsoft RSA SChannel Cryptographic Provider，在Bit length中选择2048。 3. 选择生成文件的保存路径，完成之后，在生成的txt文件中就会看到以“-----BEGIN NEW CERTIFICATE REQUEST-----”开头的CSR内容。这就是接下来在CA机构中生成CA证书时要用到的CSR。 二、从CA机构购买并创建CA证书 这里以GoDaddy为例。 1. 打开godaddy.com网站，通过菜单进入Products -> SSL&Security -> SSL

wstngfw IKEv2服务器配置示例 移动客户端的服务器配置有几个组件： 为***创建一个证书结构 配置IPsec移动客户端设置 为客户端连接创建阶段1和阶段2 添加IPsec防火墙规则 创建***的用户凭据 ipsec连接测试 ipsec故障排除 ipsec日志说明 1. 配置 Shenzheng 站点的设备 a. 创建一个证书颁发机构 b. 创建一个服务器证书 c. 配置IPsec移动客户端设置 d. 创建IPsec的阶段1和阶段2 e. 创建IPsec移动用户 f. 添加IPsec防火墙规则 g. 导出CA证书 2. 配置 Beijing 站点内网客户端 Windows 7 主机系统 a. 安装CA证书 至 受信任的根证书颁发机构 b. 创建连接到工作区的网络 c. 验证隧道连通性 相关日志 注意： 请按以下步骤添加CA证书 1. 开始菜单搜索“cmd”，打开后输入 mmc（Microsoft 管理控制台）; 2. “文件”-“添加/删除管理单元”，添加“证书”单元; 3. 证书单元的弹出窗口中一定要选“计算机账户”，之后选“本地计算机”，确定; 4. 在左边的“控制台根节点”下选择“证书”-“个人”，然后选右边的“更多操作”-“所有任务”-“导入”打开证书导入窗口; 5. 选择刚才生成的ca.cert.cer文件。下一步“证书存储”选“个人”; 6. 导入成功后

什么是证书？ 　　它是用来证明某某东西确实是某某东西的东西。通俗地说，证书就好比公章。通过公章，可以证明相关文件确实是对应的公司发出的。 　　理论上，人人都可以找个证书工具，自己做一个证书。 什么是CA？ 　　CA全称Certificate Authority，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书？ 　　CA证书，就是CA颁发的证书。 　　前面说了，人人都可以找工具制作证书。但是制作出来的证书是没用的，因为不具备权威性。 证书的签发过程 a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证 b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等 c.如信息审核通过，CA 会向申请者签发认证文件-证书。 证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名 签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名 d.客户端 C 向服务器 S 发出请求时，S 返回证书文件 e.客户端 C 读取证书中的相关的明文信息，采用相同的散列函数计算得到信息摘要，然后，利用对应 CA 的公钥解密签名数据，对比证书的信息摘要

什么是证书？ 　　它是用来证明某某东西确实是某某东西的东西。通俗地说，证书就好比公章。通过公章，可以证明相关文件确实是对应的公司发出的。 　　理论上，人人都可以找个证书工具，自己做一个证书。 什么是CA？ 　　CA全称Certificate Authority，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书？ 　　CA证书，就是CA颁发的证书。 　　前面说了，人人都可以找工具制作证书。但是制作出来的证书是没用的，因为不具备权威性。 证书的签发过程 a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证 b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等 c.如信息审核通过，CA 会向申请者签发认证文件-证书。 证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名 签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名 d.客户端 C 向服务器 S 发出请求时，S 返回证书文件 e.客户端 C 读取证书中的相关的明文信息，采用相同的散列函数计算得到信息摘要，然后，利用对应 CA 的公钥解密签名数据，对比证书的信息摘要

目录 安装cfssl工具集 创建CA证书和秘钥 创建根证书 (CA) 下载安装包并解压 下面的操作依托于上一篇文章 环境介绍与基础配置 安装cfssl工具集 本文章使用CloudFlare的PKI工具cfssl创建所有证书。 cd /opt/k8s/bin/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 # 批量修改文件名 rename _linux-amd64 '' cfssl* chmod +x /opt/k8s/bin/* 创建CA证书和秘钥 为确保安全，kubernetes各个组件需要使用x509证书对通信进行加密和认证 CA(Certificate Authority)是自签名的根证书，用来签名后续创建的其他证书。 注意: 如果没有特殊指明，本文档的所有操作均在node01节点执行，远程分发到其他节点 创建根证书 (CA) CA证书是集群所有节点共享的，只需要创建一个CA证书，后续创建的所有证书都是由它签名 创建配置文件 CA配置文件用于配置根证书的使用场景(profile)和具体参数(usage

目录 1、实例 2、帮助命令 3、常用命令 1、实例 ----------------------------pem格式的证书------------- 1、CA的私钥，自签名证书 openssl genrsa -out ca-key.pem -aes128 2048 openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 1000 牢记下面三个属性值，生成csr.pem时需要保持一致： Country Name,State or Province Name,Organization Name 2、server端的私钥，证书请求，证书 openssl genrsa -out server-key.pem -aes128 2048 openssl req -new -key server-key.pem -out server-csr.pem openssl ca -in server-csr.pem -cert ca-cert.pem -keyfile ca-key.pem -out server-cert.pem -days 365 如果发生以下错误： "I am unable to access the ../../CA/newcerts directory ../../CA/newcerts: No such

上次踩过 PHP CURL 请求 HTTPS 协议网站的坑 PHP CURL HTTPS Error: "SSL certificate problem: unable to get local issuer certificate" 搜索并总结了一下CURL访问HTTPS需要配置的参数 # CA 证书文件路径 CURLOPT_CAINFO # CA 证书文件夹路径, 一般用上面选项即可 CURLOPT_CAPATH 然后去CURL官网下载了CA证书 CA证书下载链接 以为就此万事大吉了, 万万没想到又遇到坑, 在请求阿里云HTTPS接口时CA证书里并没有收录 GlobalSign Organization Validation CA - SHA256 - G2 于是用浏览器打开该网址能正常握手并通讯说明系统是收录了这个证书的,因此你需要导出该证书在原来的 cacert.pem 添加该证书. 导出方法 : 我用的是火狐浏览器导出, 地址栏左边绿色的小锁->更多信息 安全->查看证书->详细信息 注意证书链中的每个证书都需要在你的curl使用的cacert.pem文件中, 如果已经存在上级证书仅导出你想要的子证书即可, 否则需要导出全部的证书链中的证书 当然如果导出的是证书链其实直接可以替代 cacert.pem 文件直接使用的, 但是也只能访问有该机构ca根证书签名认证过的网站