Linux之数字证书

2024-08-22 18:04
文章标签 linux 数字证书

本文主要是介绍Linux之数字证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

新书速览|Ubuntu Linux运维从零开始学_ubuntu linux运维从零开始学 pdf 下载-CSDN博客

《Ubuntu Linux运维从零开始学(Linux技术丛书)》(肖志健)【摘要 书评 试读】- 京东图书 (jd.com)

随着网络环境的恶化,人们已经逐渐抛弃网络上面的明文数据传输,而是采用各种加密方式将数据加密后传输。通过密钥加密是目前比较流行的加密方式。系统利用公钥将数据加密,对方收到数据后通过私钥将数据解密。这些操作都需要用到证书,所以证书在保证网络安全方面有着不可代替的作用。本节将介绍证书的类型以及创建方法。

12.4.1  数字证书

公开密钥加密最常见的用途就是通过安全套接字来加密传输数据。例如HTTPS就是将原本明文传输的HTTP协议通过SSL加密。通过SSL可以使得本身并不支持数据加密的协议能够将数据加密后再进行传输。

公钥通常通过证书来分发。一般情况下,证书需要认证机构来签发。而认证机构就是一个受信任的第三方机构。由认证机构来确认证书中包含的内容是准确的、真实的。

从认证机构获得一个数字证书的过程非常简单,其基本步骤如下:

   用户创建一个私钥和公钥密钥对。

   基于公钥创建一个数字证书请求。该请求中包含服务器和公司信息。

   向认证机构发送证书请求。

   当认证机构确认用户提供的资料之后,将数字证书颁发给用户。

   用户将数字证书安装到服务器,并使用该证书配置相应的应用程序。

12.4.2  生成密钥

在申请数字证书之前,用户需要自己生成密钥对。根据不同的用途,密钥分为密码保护的密钥和没有密码保护的密钥。如果申请的证书用于某些守护进程,例如Apache、Postfix以及Tomcat等,则应该生成没有密码保护的密钥,这样的话用户就不需要在每次启动服务时输入密码。但是,没有密码保护的密钥相对而言是不安全的,所以,除应用于守护进程外,生成的密钥都应该通过密码保护。

密钥可以通过OpenSSL软件包来完成,该软件包提供了一个名称为openssl的命令。

下面的命令用于创建一个密码保护的私钥:

liu@ubuntu:~$ openssl genrsa -des3 -out server.key 2408
Generating RSA private key, 2408 bit long modulus
........................................+++
......+++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

其中,genrsa为openssl的子命令,表示生成一个RSA算法私钥。-des3表示使用DES3加密算法保护RSA私钥。如果不指定-des3选项,则生成的私钥没有密码保护。-out选项用来指定私钥文件名。最后的数字2408为生成的私钥的位数。

当执行完以上命令之后,生成的私钥便以server.key为文件名存储在当前目录中。用户可以使用cat命令查看其内容,如下所示:

liu@ubuntu:~$ cat server.key 
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BDF4938AA6D0EFFBtbHjd5umBfZB3YWPcnDo500RZaYYcjG334cXhc7TPFGRG7J76iSMYTjh29GWMIg
Vdxkh21kYay4LBbk8ljrVXUaq26BDJoKBMekavWLxxbw/uhZiG4bT1K3e5LYpO0e
GWhxmIDzhKUMuYG5lXBT4YwH5lQjOfp9pxFcroiE978ESxG6gddGp4ty+ONyU5wb
fQGJuNTCvre1VvZokS8EFWiiorSsl9yT0TxOLkyBUCqUzcHXO3fLiwO5RKHx28Mf
…
nTyCCAn8Ks4=
-----END RSA PRIVATE KEY-----

接下来,用户可以使用openssl命令从server.key文件生成一个没有密码保护的私钥,如下所示:

liu@ubuntu:~$ openssl rsa -in server.key -out server-nopasswd.key
Enter pass phrase for server.key:
writing RSA key

其中,rsa子命令表示管理RSA密钥,-in选项用来指定输入的密钥文件,-out选项指定输出的密钥文件。在输出密钥的过程中,需要用户输入前面设置的保护密码。

12.4.3  生成证书签署请求

证书签署请求(Certificate Signing Request,CSR),即通过前面生成的私钥生成一个数字证书请求。该操作需要使用openssl命令的req子命令。

例如,下面的命令用于以前面创建的私钥生成一个证书签署请求:

liu@ubuntu:~$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Demo
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:www.demo.com
Email Address []:admin@demo.comPlease enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

在生成请求的过程中,会要求用户输入一系列的信息,包括国家名称、省名、城市、组织机构、域名以及电子邮件地址等。此外,还要求用户输入一个可选的密码和公司名称。当所有的问题都回答完毕之后,一个包含证书请求的名称为server.csr的文件便生成了。用户可以将该文件提交给证书认证机构,认证机构会根据该文件生成一个数字证书发送给用户。

除通过认证机构申请证书外,用户也可以创建自己签署的数字证书。当然,由于自签署证书并没有经过第三方的认证,因此不可以用在生产环境中,仅仅作为开发或者测试使用。

下面的命令用于生成一个自签名的数字证书:

liu@ubuntu:~$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=Guangdong/L=Guangzhou/O=Demo/OU=IT/CN=www.demo.com/emailAddress=admin@demo.com
Getting Private key
Enter pass phrase for server.key:

在执行上面的命令的时候,会要求用户输入私钥的密码,输入完成之后,生成的证书便保存在server.crt文件中。

12.4.4  安装证书

数字证书的安装比较简单,直接将证书和私钥复制到指定的目录即可,如下所示:

liu@ubuntu:~$ sudo cp server.crt /etc/ssl/certs/
liu@ubuntu:~$ sudo cp server.key /etc/ssl/private/

安装完成之后,用户可以在其他应用系统中使用该数字证书。例如在Apache中启用HTTPS。

这篇关于Linux之数字证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1096996

相关文章

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

[Linux]:进程(下)

✨✨ 欢迎大家来到贝蒂大讲堂✨✨ 🎈🎈养成好习惯,先赞后看哦~🎈🎈 所属专栏:Linux学习 贝蒂的主页:Betty’s blog 1. 进程终止 1.1 进程退出的场景 进程退出只有以下三种情况: 代码运行完毕,结果正确。代码运行完毕,结果不正确。代码异常终止(进程崩溃)。 1.2 进程退出码 在编程中,我们通常认为main函数是代码的入口,但实际上它只是用户级

【Linux】应用层http协议

一、HTTP协议 1.1 简要介绍一下HTTP        我们在网络的应用层中可以自己定义协议,但是,已经有大佬定义了一些现成的,非常好用的应用层协议,供我们直接使用,HTTP(超文本传输协议)就是其中之一。        在互联网世界中,HTTP(超文本传输协议)是一个至关重要的协议,他定义了客户端(如浏览器)与服务器之间如何进行通信,以交换或者传输超文本(比如HTML文档)。

如何编写Linux PCIe设备驱动器 之二

如何编写Linux PCIe设备驱动器 之二 功能(capability)集功能(capability)APIs通过pci_bus_read_config完成功能存取功能APIs参数pos常量值PCI功能结构 PCI功能IDMSI功能电源功率管理功能 功能(capability)集 功能(capability)APIs int pcie_capability_read_wo