CA证书

之前dashboard升级时需要Https请求，需要自己生成CA证书；在此记录一下 创建一个2048bit的ca.key openssl genrsa -out ca.key 2048 根据上一步创建的 ca.key 文件生成 ca.crt #-days设置有效时间 openssl req -x509 -new -nodes -key ca.key -subj "/CN=<MASTER_IP>" -days 10000 -out ca.crt 生成一个2048bit的server.key: openssl genrsa -out server.key 2048 新建文件csr.conf，内容如下替换尖括号的内容： [ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C = <country> ST = <state> L = <city> O = <organization> OU = <organization unit> CN = <MASTER_IP> [ req_ext ] subjectAltName = @alt_names [alt_names ] DNS.1 = kubernetes

有两台机器一个负责颁发（157）一个负责申请（105） 整体思路 1.搭建CA 2.发送申请 3.颁发证书 选项说明： -new：生成新证书签署请求 -x509：专用于CA生成自签证书 -key：生成请求时用到的私钥文件 -days n：证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 查看证书中的信息： openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates 第一步 157 创建rsa密钥 在/etc/pki/CA/private (umask 077;openssl genrsa -out cakey.pem 4096) 创建自签证书 在/etc/pki/CA/ openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 必填选项国家，省会和公司名 157 创建两个文件 touch /etc/pki/CA/index.txt echo 0F >/etc/pki/CA/serial 第二步 105 创建私钥 在/apps下面 (umask 077;openssl genrsa -out app.key 1024) 生成证书请求文件 openssl req

下面是java编程方式生成CA证书的代码，使用的是BC的provider。生成CA证书与生成普通证书的区别是：1，生成CA证书时，issuer和subject一致；2，在ContentSigner.build()的时候（签名的时候）使用的是与待签名公钥相应的私钥。 下面代码，CA生成以后把私钥和证书一起以一个key entry的方式存入一个jks文件。 static { Security.addProvider(new BouncyCastleProvider()); } public static void main(String[] args) { try { KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA"); kpg.initialize(2048); KeyPair keyPair = kpg.generateKeyPair(); KeyStore store = KeyStore.getInstance("JKS"); store.load(null, null); String issuer = "C=CN,ST=GuangDong,L=Shenzhen,O=Skybility,OU=Cloudbility,CN=Atlas Personal License CA,E=cwjcsu@126.com";

安装证书： 打开burpsuite，设置好代理。端口8080，但是打开https的网站却因为证书问题无法访问。 这需要我们为浏览器手动安装CA证书， 安装CA证书有两种方式： 1、 在burpsuite中 记得选certificate in DER format就足够了，不要选Private，里面包含有个人的隐私信息容易泄密。 next，设置证书保存路径，next，close 2、在已经打开burpsuite代理的情况下。在浏览器中打开http://burp，可以看到有生成CA证书的选项，点击 保存下来。 现在我们有了证书，开始导入证书 alt弹出菜单edit ,Preferences ,Advanced ,Certificates ,view Certificates import导入刚才的证书 现在开始访问https://mail.163.com，那个圈一直在转，但是进不去。 这是因为burpsuite默认开启了截断功能intercept is on，浏览器中不会马上打开163邮箱的页面。 可以看到request to http://main.163.com:80 [220.181.12.209]，这是burpsuite后台正在打开的网址，如果想访问这个网址点forward，如果想跳过这个网址点drop 不断地按forward，就会不断地弹出页面内容 知道加载完毕

Burpsuite的安装： 1.打开官网选择windows版本下载 2.点击安装包选择好自己想保存的路径直接安装即可 3.找到安装目录 3.打开软件 1.弹出的页面X掉 2.右下角Next 3.star burp ========================================================================================== CA证书的安装 1.打开burpsuite 2. 访问 127.0.0.1:8080(需在保持打开软件的情况下访问) 3.打开页面后 右上角CA证书下载 4.打开浏览器右上角设置，选择高级 点击管理证书，选择受信任的根证书颁发机构 点击左边导入，选择打开文件，找到下载目录（找不到请选择所有文件） 选择cacert.der 一直下一步就可以完成安装CA证书 ============================================================================= 设置浏览器代理 例如FireFox 打开浏览器选项 在连接设置里选择手动代理配置，将Http代理改为127.0.0.1 端口为8080 为所有协议使用相同代理服务器这一栏打上勾 谷歌浏览器则是在设置里找到高级选择打开代理设置 internet属性里，右下角打开局域网设置 代理服务器这一栏