seo网站优化优化排名,seo推广公司排名,长春做网站推广的公司,网站开发合作协议目录
一、理论
1.CA认证中心
2.CA证书服务器部署
二、实验
1. CA证书服务器部署
三、总结 一、理论
1.CA认证中心
#xff08;1#xff09;概念
CA #xff1a;CertificateAuthority的缩写#xff0c;通常翻译成认证权威或者认证中心#xff0c;主要用途是为用户…目录
一、理论
1.CA认证中心
2.CA证书服务器部署
二、实验
1. CA证书服务器部署
三、总结 一、理论
1.CA认证中心
1概念
CA CertificateAuthority的缩写通常翻译成认证权威或者认证中心主要用途是为用户发放数字证书
功能证书发放、证书更新、证书撤销和证书验证。
作用身份认证数据的不可否认性
端口443
证书请求文件CSR是Cerificate Signing Request的英文缩写即证书请求文件也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件证书申请者只要把CSR文件提交给证书颁发机构后证书颁发机构使用其根证书的私钥签名就生成了证书文件也就是颁发给用户的证书。 (2)名词介绍
①key 私钥 明文--自己生成genrsa
②csr 公钥 由私钥生成
③crt 证书 公钥 签名自签名或者由CA签名
④证书server.crt文件就是证书
⑤签名使用私钥key与公钥csr进行证书server.crt生成的过程称为签名 3https 与 http 区别 HTTP 明文传输数据都是未加密的安全性较差HTTPSSSLHTTP 数据传输过程是加密的安全性较好。 使用 HTTPS 协议需要到 CACertificate Authority数字证书认证机构 申请证书一般免费证书较少因而需要一定费用。证书颁发机构如Symantec、Comodo、GoDaddy 和 GlobalSign 等。 HTTP 页面响应速度比 HTTPS 快主要是因为 HTTP 使用 TCP 三次握手建立连接客户端和服务器需要交换 3 个包而 HTTPS 除了 TCP 的三个包还要加上 ssl 握手需要的 9 个包所以一共是 12 个包。 http 和 https 使用的是完全不同的连接方式用的端口也不一样前者是 80后者是 443。 HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议所以要比较 HTTPS 比 HTTP 要更耗费服务器资源。 4https原理 原理如下
1.客户端发起 HTTPS 请求
这个没什么好说的就是用户在浏览器里输入一个 https 网址然后连接到 server 的 443 端口。2.服务端的配置
采用 HTTPS 协议的服务器必须要有一套数字证书可以自己制作也可以向组织申请区别就是自己颁发的证书需要客户端验证通过才可以继续访问而使用受信任的公司申请的证书则不会弹出提示页面(startssl 就是个不错的选择有 1 年的免费服务)。
这套证书其实就是一对公钥和私钥如果对公钥和私钥不太理解可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙你可以把锁头给别人别人可以用这个锁把重要的东西锁起来然后发给你因为只有你一个人有这把钥匙所以只有你才能看到被这把锁锁起来的东西。3.传送证书
这个证书其实就是公钥只是包含了很多信息如证书的颁发机构过期时间等等。4.客户端解析证书
这部分工作是有客户端的 TLS 来完成的首先会验证公钥是否有效比如颁发机构过期时间等等如果发现异常则会弹出一个警告框提示证书存在问题。如果证书没有问题那么就生成一个随机值然后用证书对该随机值进行加密就好像上面说的把随机值用锁头锁起来这样除非有钥匙不然看不到被锁住的内容。5.传送加密信息
这部分传送的是用证书加密后的随机值目的就是让服务端得到这个随机值以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。6.服务端解密信息
服务端用私钥解密后得到了客户端传过来的随机值(私钥)然后把内容通过该值进行对称加密所谓对称加密就是将信息和私钥通过某种算法混合在一起这样除非知道私钥不然无法获取内容而正好客户端和服务端都知道这个私钥所以只要加密算法够彪悍私钥够复杂数据就够安全。7.传输加密后的信息
这部分信息是服务段用私钥加密后的信息可以在客户端被还原。8.客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息于是获取了解密后的内容整个过程第三方即使监听到了数据也束手无策。
2.CA证书服务器部署
(1) 环境准备
表1 服务器
主机IP地址CA证书服务器192.168.204.69Apache服务器192.168.204.186
2CA证书服务器的配置
[rootserver ~]# yum install -y openssl //安装OpenSSL工具默认是安装好了的
[rootserver ~]# vim /etc/pki/tls/openssl.cnf //查看配置文件
42 dir /etc/pki/CA #相关证书的存放的目录
43 certs $dir/certs #存储签发的数字证书
45 database $dir/index.txt # 记录颁发证书的信息
51 serial $dir/serial #记录证书编号
[rootserver ~]# cd /etc/pki/CA/ //这个目录是存放证书相关的文件的地方
[rootserver CA]# ls
certs crl newcerts private
[rootserver CA]# cd private/ //这个目录是存放CA证书服务的私钥的地方CA证书服务器创建自签名证书并设置权限为600
[rootserver ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
..............................................
.............................................................
e is 65537 (0x10001)CA证书服务器签发本地自签名证书需要输入一些基本信息
[rootserver ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
Country Name (2 letter code) [XX]:CN //国家
State or Province Name (full name) []:JS //所在省
Locality Name (eg, city) [Default City]:NJ //所在市
Organization Name (eg, company) [Default Company Ltd]:APACHE //单位名称
Organizational Unit Name (eg, section) []:APACHE-SERVER //组织单位名称
Common Name (eg, your name or your servers hostname) []:jw.com //单位的域名
Email Address []:admin163.com 邮箱CA证书服务还需要创建两个文件才可以执行颁发证书操作
[rootserver ~]# cd /etc/pki/CA/ //进入这个目录
[rootserver CA]# touch index.txt //创建记录申请证书的文件
[rootserver CA]# echo 01 serial //证书编号
[rootserver CA]# cat serial
01
(2) Apache服务器的配置
[rootclinet ~]# yum install -y httpd mod_ssl
[rootclinet ~]# echo this is CA /var/www/html/index.html //写入一个页面暂时不要启动httpd服务器创建私钥httpd.key
[rootclinet ~]# mkdir ssl //创建一个目录
[rootclinet ~]# cd ssl/
[rootclinet ssl]# (umask 077;openssl genrsa -out /root/ssl/httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
......
................................................................
e is 65537 (0x10001)依据私钥生成证书申请文件
[rootclinet ssl]# openssl req -new -key httpd.key -out httpd.csr //填写相关信息即可
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ., the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:JS
Locality Name (eg, city) [Default City]:NJ
Organization Name (eg, company) [Default Company Ltd]:APACHE
Organizational Unit Name (eg, section) []:APACHE-SERVER
Common Name (eg, your name or your servers hostname) []:jw.com
Email Address []:admin163.comPlease enter the following extra attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:apache[rootclinet ssl]# ls //最后在这个目录就生成了两个文件了
httpd.csr httpd.key然后我们将生成的证书申请文件发送到 CA证书服务器进行授权操作
[rootclinet ssl]# scp httpd.csr root192.168.204.69:/
(3) CA证书服务器的操作
[rootserver /]#openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:Serial Number: 1 (0x1)ValidityNot Before: Aug 27 10:42:07 2023 GMTNot After : Aug 26 10:42:07 2024 GMTSubject:countryName CNstateOrProvinceName JSorganizationName APACHEorganizationalUnitName APACHE-SERVERcommonName jw.comemailAddress admin163.comX509v3 extensions:X509v3 Basic Constraints: CA:FALSENetscape Comment: OpenSSL Generated CertificateX509v3 Subject Key Identifier: 68:52:C5:41:3F:1E:7C:25:FE:06:87:79:91:F1:DD:BD:62:41:50:AEX509v3 Authority Key Identifier: keyid:0A:47:11:F3:83:F6:6B:E7:D8:6F:C5:3F:DE:42:C6:71:B6:ED:6F:FDCertificate is to be certified until Aug 26 10:42:07 2024 GMT (365 days)
Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated然后我们在将生成的证书文件传送会Apache服务器即可
[rootserver /]# scp /etc/pki/CA/certs/httpd.crt root192.168.204.186:/root/ssl
root192.168.204.186s password:
httpd.crt 100% 4571 7.2MB/s 00:00
(4) Apache服务器的操作
[rootclinet ssl]# ls 然后就会如下的文件
httpd.crt httpd.csr httpd.key
[rootclinet ~]# vim /etc/httpd/conf.d/ssl.conf //然后我们编辑这个文件 添加这两个文件所在的路径即可100 SSLCertificateFile /root/ssl/httpd.crt107 SSLCertificateKeyFile /root/ssl/httpd.key先关闭防火墙以及selinux 不然等下启动会出现问题
[rootclinet ssl]# systemctl stop firewalld
[rootclinet ssl]# setenforce 0
[rootclinet ssl]# systemctl start httpd
[rootclinet ssl]# ss -tan |grep 80
LISTEN 0 128 [::]:80 [::]:*
[rootclinet ssl]# ss -tan |grep 443
LISTEN 0 128 [::]:443 [::]:*
(5) 浏览器访问测试
浏览器输入https://192.168.204.186访问测试因为我们自行搭建的证书服务器颁发的证书不具备权威性所有浏览器还是提示为不安全
点击访问出现如下画面也是可以正常访问的
this is CA
点击证书来进行查看颁发者CA证书服务器结合httpd服务器的实验就此完成 二、实验
1. CA证书服务器部署
1CA证书服务器的配置
安装OpenSSL工具 完成 查看配置文件 42行为相关证书的存放的目录43行为存储签发的数字证书 45行为记录颁发证书的信息 51行为记录证书编号 切换存放证书相关的文件的目录 切换存放CA证书服务的私钥的目录 CA证书服务器创建自签名证书并设置权限为600 生成文件 CA证书服务器签发本地自签名证书需要输入一些基本信息 CA证书服务还需要创建两个文件才可以执行颁发证书操作 (2) Apache服务器的配置 写入一个页面暂时不要启动httpd服务器 创建私钥httpd.key 生成文件 依据私钥生成证书申请文件 查看在这个目录就生成了两个文件 然后将生成的证书申请文件发送到 CA证书服务器进行授权操作 (3) CA证书服务器的操作 然后将生成的证书文件传送会Apache服务器 (4) Apache服务器的操作
查看 编辑这个文件 添加这两个文件所在的路径即可 先关闭防火墙以及selinux 启动服务并查看端口 (5) 浏览器访问测试
因为自行搭建的证书服务器颁发的证书不具备权威性所有浏览器还是提示为不安全 点击访问出现如下画面也是可以正常访问的 可以点击证书来进行查看 三、总结
名词介绍:
①key 私钥 明文--自己生成genrsa
②csr 公钥 由私钥生成
③crt 证书 公钥 签名自签名或者由CA签名
④证书server.crt文件就是证书
⑤签名使用私钥key与公钥csr进行证书server.crt生成的过程称为签名 文章转载自: http://www.morning.wnywk.cn.gov.cn.wnywk.cn http://www.morning.kmqjx.cn.gov.cn.kmqjx.cn http://www.morning.geledi.com.gov.cn.geledi.com http://www.morning.fqpyj.cn.gov.cn.fqpyj.cn http://www.morning.pttrs.cn.gov.cn.pttrs.cn http://www.morning.trzmb.cn.gov.cn.trzmb.cn http://www.morning.zmbzl.cn.gov.cn.zmbzl.cn http://www.morning.jwbfj.cn.gov.cn.jwbfj.cn http://www.morning.fhntj.cn.gov.cn.fhntj.cn http://www.morning.szoptic.com.gov.cn.szoptic.com http://www.morning.qhtlq.cn.gov.cn.qhtlq.cn http://www.morning.nqbpz.cn.gov.cn.nqbpz.cn http://www.morning.fxwkl.cn.gov.cn.fxwkl.cn http://www.morning.mlnzx.cn.gov.cn.mlnzx.cn http://www.morning.qxycf.cn.gov.cn.qxycf.cn http://www.morning.ssglh.cn.gov.cn.ssglh.cn http://www.morning.sfrw.cn.gov.cn.sfrw.cn http://www.morning.gpmrj.cn.gov.cn.gpmrj.cn http://www.morning.gxeqedd.cn.gov.cn.gxeqedd.cn http://www.morning.lsfzq.cn.gov.cn.lsfzq.cn http://www.morning.nzms.cn.gov.cn.nzms.cn http://www.morning.wrtpk.cn.gov.cn.wrtpk.cn http://www.morning.pwbps.cn.gov.cn.pwbps.cn http://www.morning.fthcn.cn.gov.cn.fthcn.cn http://www.morning.spfh.cn.gov.cn.spfh.cn http://www.morning.xnltz.cn.gov.cn.xnltz.cn http://www.morning.grqlc.cn.gov.cn.grqlc.cn http://www.morning.xctdn.cn.gov.cn.xctdn.cn http://www.morning.knwry.cn.gov.cn.knwry.cn http://www.morning.qbrs.cn.gov.cn.qbrs.cn http://www.morning.tjkth.cn.gov.cn.tjkth.cn http://www.morning.mhwtq.cn.gov.cn.mhwtq.cn http://www.morning.jmmzt.cn.gov.cn.jmmzt.cn http://www.morning.alwpc.cn.gov.cn.alwpc.cn http://www.morning.qfcnp.cn.gov.cn.qfcnp.cn http://www.morning.gfnsh.cn.gov.cn.gfnsh.cn http://www.morning.rjmd.cn.gov.cn.rjmd.cn http://www.morning.ndxss.cn.gov.cn.ndxss.cn http://www.morning.bxrlt.cn.gov.cn.bxrlt.cn http://www.morning.wdrxh.cn.gov.cn.wdrxh.cn http://www.morning.xctdn.cn.gov.cn.xctdn.cn http://www.morning.smyxl.cn.gov.cn.smyxl.cn http://www.morning.zyrcf.cn.gov.cn.zyrcf.cn http://www.morning.trpq.cn.gov.cn.trpq.cn http://www.morning.smqjl.cn.gov.cn.smqjl.cn http://www.morning.smszt.com.gov.cn.smszt.com http://www.morning.ykswq.cn.gov.cn.ykswq.cn http://www.morning.qqfcf.cn.gov.cn.qqfcf.cn http://www.morning.ljglc.cn.gov.cn.ljglc.cn http://www.morning.jqsyp.cn.gov.cn.jqsyp.cn http://www.morning.rbbzn.cn.gov.cn.rbbzn.cn http://www.morning.fwdln.cn.gov.cn.fwdln.cn http://www.morning.gmnmh.cn.gov.cn.gmnmh.cn http://www.morning.fpxms.cn.gov.cn.fpxms.cn http://www.morning.jhswp.cn.gov.cn.jhswp.cn http://www.morning.qlpyn.cn.gov.cn.qlpyn.cn http://www.morning.tkqzr.cn.gov.cn.tkqzr.cn http://www.morning.zzfqn.cn.gov.cn.zzfqn.cn http://www.morning.xxwhz.cn.gov.cn.xxwhz.cn http://www.morning.sgpnz.cn.gov.cn.sgpnz.cn http://www.morning.kcsx.cn.gov.cn.kcsx.cn http://www.morning.rgzc.cn.gov.cn.rgzc.cn http://www.morning.qgbfx.cn.gov.cn.qgbfx.cn http://www.morning.qbkw.cn.gov.cn.qbkw.cn http://www.morning.dnycx.cn.gov.cn.dnycx.cn http://www.morning.yhyqg.cn.gov.cn.yhyqg.cn http://www.morning.brfxt.cn.gov.cn.brfxt.cn http://www.morning.mplld.cn.gov.cn.mplld.cn http://www.morning.ckwxs.cn.gov.cn.ckwxs.cn http://www.morning.kksjr.cn.gov.cn.kksjr.cn http://www.morning.pxjp.cn.gov.cn.pxjp.cn http://www.morning.hrqfl.cn.gov.cn.hrqfl.cn http://www.morning.pdgqf.cn.gov.cn.pdgqf.cn http://www.morning.fhxrb.cn.gov.cn.fhxrb.cn http://www.morning.ynrzf.cn.gov.cn.ynrzf.cn http://www.morning.gfrtg.com.gov.cn.gfrtg.com http://www.morning.lmrcq.cn.gov.cn.lmrcq.cn http://www.morning.dmzmy.cn.gov.cn.dmzmy.cn http://www.morning.fgrkc.cn.gov.cn.fgrkc.cn http://www.morning.txrkq.cn.gov.cn.txrkq.cn
