Linux之数字证书

news2024/12/27 12:49:32

新书速览|Ubuntu Linux运维从零开始学_ubuntu linux运维从零开始学 pdf 下载-CSDN博客

《Ubuntu Linux运维从零开始学(Linux技术丛书)》(肖志健)【摘要 书评 试读】- 京东图书 (jd.com)

随着网络环境的恶化,人们已经逐渐抛弃网络上面的明文数据传输,而是采用各种加密方式将数据加密后传输。通过密钥加密是目前比较流行的加密方式。系统利用公钥将数据加密,对方收到数据后通过私钥将数据解密。这些操作都需要用到证书,所以证书在保证网络安全方面有着不可代替的作用。本节将介绍证书的类型以及创建方法。

12.4.1  数字证书

公开密钥加密最常见的用途就是通过安全套接字来加密传输数据。例如HTTPS就是将原本明文传输的HTTP协议通过SSL加密。通过SSL可以使得本身并不支持数据加密的协议能够将数据加密后再进行传输。

公钥通常通过证书来分发。一般情况下,证书需要认证机构来签发。而认证机构就是一个受信任的第三方机构。由认证机构来确认证书中包含的内容是准确的、真实的。

从认证机构获得一个数字证书的过程非常简单,其基本步骤如下:

   用户创建一个私钥和公钥密钥对。

   基于公钥创建一个数字证书请求。该请求中包含服务器和公司信息。

   向认证机构发送证书请求。

   当认证机构确认用户提供的资料之后,将数字证书颁发给用户。

   用户将数字证书安装到服务器,并使用该证书配置相应的应用程序。

12.4.2  生成密钥

在申请数字证书之前,用户需要自己生成密钥对。根据不同的用途,密钥分为密码保护的密钥和没有密码保护的密钥。如果申请的证书用于某些守护进程,例如Apache、Postfix以及Tomcat等,则应该生成没有密码保护的密钥,这样的话用户就不需要在每次启动服务时输入密码。但是,没有密码保护的密钥相对而言是不安全的,所以,除应用于守护进程外,生成的密钥都应该通过密码保护。

密钥可以通过OpenSSL软件包来完成,该软件包提供了一个名称为openssl的命令。

下面的命令用于创建一个密码保护的私钥:

liu@ubuntu:~$ openssl genrsa -des3 -out server.key 2408
Generating RSA private key, 2408 bit long modulus
........................................+++
......+++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

其中,genrsa为openssl的子命令,表示生成一个RSA算法私钥。-des3表示使用DES3加密算法保护RSA私钥。如果不指定-des3选项,则生成的私钥没有密码保护。-out选项用来指定私钥文件名。最后的数字2408为生成的私钥的位数。

当执行完以上命令之后,生成的私钥便以server.key为文件名存储在当前目录中。用户可以使用cat命令查看其内容,如下所示:

liu@ubuntu:~$ cat server.key 
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BDF4938AA6D0EFF

BtbHjd5umBfZB3YWPcnDo500RZaYYcjG334cXhc7TPFGRG7J76iSMYTjh29GWMIg
Vdxkh21kYay4LBbk8ljrVXUaq26BDJoKBMekavWLxxbw/uhZiG4bT1K3e5LYpO0e
GWhxmIDzhKUMuYG5lXBT4YwH5lQjOfp9pxFcroiE978ESxG6gddGp4ty+ONyU5wb
fQGJuNTCvre1VvZokS8EFWiiorSsl9yT0TxOLkyBUCqUzcHXO3fLiwO5RKHx28Mf
…
nTyCCAn8Ks4=
-----END RSA PRIVATE KEY-----

接下来,用户可以使用openssl命令从server.key文件生成一个没有密码保护的私钥,如下所示:

liu@ubuntu:~$ openssl rsa -in server.key -out server-nopasswd.key
Enter pass phrase for server.key:
writing RSA key

其中,rsa子命令表示管理RSA密钥,-in选项用来指定输入的密钥文件,-out选项指定输出的密钥文件。在输出密钥的过程中,需要用户输入前面设置的保护密码。

12.4.3  生成证书签署请求

证书签署请求(Certificate Signing Request,CSR),即通过前面生成的私钥生成一个数字证书请求。该操作需要使用openssl命令的req子命令。

例如,下面的命令用于以前面创建的私钥生成一个证书签署请求:

liu@ubuntu:~$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Demo
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:www.demo.com
Email Address []:admin@demo.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

在生成请求的过程中,会要求用户输入一系列的信息,包括国家名称、省名、城市、组织机构、域名以及电子邮件地址等。此外,还要求用户输入一个可选的密码和公司名称。当所有的问题都回答完毕之后,一个包含证书请求的名称为server.csr的文件便生成了。用户可以将该文件提交给证书认证机构,认证机构会根据该文件生成一个数字证书发送给用户。

除通过认证机构申请证书外,用户也可以创建自己签署的数字证书。当然,由于自签署证书并没有经过第三方的认证,因此不可以用在生产环境中,仅仅作为开发或者测试使用。

下面的命令用于生成一个自签名的数字证书:

liu@ubuntu:~$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=Guangdong/L=Guangzhou/O=Demo/OU=IT/CN=www.demo.com/emailAddress=admin@demo.com
Getting Private key
Enter pass phrase for server.key:

在执行上面的命令的时候,会要求用户输入私钥的密码,输入完成之后,生成的证书便保存在server.crt文件中。

12.4.4  安装证书

数字证书的安装比较简单,直接将证书和私钥复制到指定的目录即可,如下所示:

liu@ubuntu:~$ sudo cp server.crt /etc/ssl/certs/
liu@ubuntu:~$ sudo cp server.key /etc/ssl/private/

安装完成之后,用户可以在其他应用系统中使用该数字证书。例如在Apache中启用HTTPS。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2064066.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

嵌入式day32

recvfrom 参数: sockfd //socket的fd buf //保存数据的一块空间的地址 len //这块空间的大小 flags //0 默认的接收方式 --- 阻塞方式 src_addr //用来保存发送方的地址信息 addrlen //表示发送方实际的地址信息大小 返回值: 成功 返回接收到的字…

小米、友邦带领恒指大反攻!

港股三大指数反弹止步2连跌,恒生科技指数一度冲高至2%,恒指收涨1.44%。盘面上,大型科技股多数表现活跃,业绩超预期,小米大涨超8%表现尤其抢眼,京东涨约4%,百度涨1.71%,网易涨2.14%&a…

linux内核编译及驱动程序的添加

内核编译:Makefile 条件编译 先拷贝一个默认的配置到.config (官方所有的默认配置文件在arch/arm/configs下) 我使用的是内核源码顶层目录下的config_mini2440_td35 在Kconfig中定义menuconfig中的可配置选项 make menuconfig //可视化配置菜单 --内核活地图 .config #…

生产者消息可靠性

若支付服务和mq之前网络链接失败/mq挂掉/交易服务挂掉,都有可以让支付订单无法更新,所以导致发送者不可靠,mq本身不可靠,消费者不可靠,消息延迟,针对以下问题 生产者可靠性 支付服务和mq之间有可能连不上,连不上怎么办,可以增加失败重连 配置文件中配置-重连 测试结果…

《黑神话·悟空》主创冯骥:我真的不适合做生物

出品| 木青生信大模型 作者| 穆易青、kimi 头图| 大地老周 引言 《黑神话:悟空》自8月20日全球上线以来,以其震撼的视觉效果和深刻的游戏体验,迅速成为现象级作品。这款游戏不仅创下了450万份的单日销量纪录,更在Steam等平台上取得了前所未有的成功。作为一名热爱游戏的…

SDXS:知识蒸馏在高效图像生成中的应用

人工智能咨询培训老师叶梓 转载标明出处 扩散模型虽然在图像生成方面表现出色,但其迭代采样过程导致在低功耗设备上部署面临挑战,同时在云端高性能GPU平台上的能耗也不容忽视。为了解决这一问题,小米公司的Yuda Song、Zehao Sun、Xuanwu Yin…

财务报表解读指南:关键指标与分析方法详解

一、概述 财务报表中包含了丰富的信息,但如果在分析时缺乏明确的思路或忽略重点,很容易被复杂的数据搞得无所适从。本文将介绍财务报表中的关键指标,包括资产负债率的分析、净资产收益率的解读,以及销售复合增长率的计算&#xf…

如何生成随机数(通过rand函数,srand函数,time函数深入讲解)

目录 1. 随机数的生成 2. srand函数 3. time函数 4. 设置随机数的范围 1. 随机数的生成 既然是猜数字游戏,那么最终的数字答案肯定是重要的,我们要如何实现这个随机数的生成呢? 在这个功能上,C语言提供了一个函数叫rand&…

智算中心算力池化技术深度分析报告

智算中心算力池化技术深度分析 智能算力,人工智能基石,助力构建多要素融合信息基础设施。作为数字经济高质量发展核心引擎,智能算力基础设施建设正迎来高潮。 智算中心,作为集约化算力基础设施,以智能算力为核心&…

特征工程练手(四):特征选择

本文为和鲸python 特征工程入门与实践闯关训练营资料整理而来,加入了自己的理解(by GPT4o) 原活动链接 原作者:云中君,大厂后端研发工程师 目录 0、关卡总结1、前言2、基础知识讲解2.1get_best_model_and_accuracy2…

springboot集成kafka-生产者发送消息

springboot集成kafka发送消息 1、kafkaTemplate.send()方法1.1、springboot集成kafka发送消息Message对象消息1.2、springboot集成kafka发送ProducerRecord对象消息1.3、springboot集成kafka发送指定分区消息 2、kafkaTemplate.sendDefault()方法3、kafkaTemplate.send(...)和k…

案例-异常

题目: (如果一开始不知道如何用异常的语法写,可先用如if语句代替try...catch,最后再把if优化为try...catch) 代码: javabean类: 测试类:

Java CompletableFuture:你真的了解它吗?

文章目录 1 什么是 CompletableFuture?2 如何正确使用 CompletableFuture 对象?3 如何结合回调函数处理异步任务结果?4 如何组合并处理多个 CompletableFuture? 1 什么是 CompletableFuture? CompletableFuture 是 Ja…

springboot静态资源访问问题归纳

以下内容基于springboot 2.3.4.RELEASE 1、默认配置的springboot项目,有四个静态资源文件夹,它们是有优先级的,如下: "classpath:/META-INF/resources/", (优先级最高) "classpath:/reso…

【精选】基于Spark的国漫推荐系统(精选设计产品)

目录: 系统开发技术 Python可视化技术 Django框架 Hadoop介绍 Scrapy介绍 IDEA介绍 B/S架构 MySQL数据库介绍 系统流程分析 操作流程 添加信息流程 删除信息流程 系统系统介绍: 可以查看我的B站: 系统测试 运行环境 软件平台 硬…

docker-compose安装NebulaGraph 3.8.0

文章目录 一. 安装NebulaGraph1.1 通过 Git 克隆nebula-docker-compose仓库的3.8.0分支到主机1.2 部署1.3 卸载1.4 查看 二. 安装NebulaGraph Studio2.1 下载 Studio 的部署配置文件2.2 创建nebula-graph-studio-3.10.0目录,并将安装包解压至目录中2.3 解压后进入 n…

shaushaushau1

CVE-2023-7130 靶标介绍: College Notes Gallery 2.0 允许通过“/notes/login.php”中的参数‘user’进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据. 已经告诉你在哪里存在sql注入了,一般上来应该先目录扫…

【补充篇】AUTOSAR多核OS介绍(下)

文章目录 前文回顾1 AUTOSAR OS1.1 AUTSOAR OS元素1.1.1 操作系统对象1.1.2 操作系统应用程序1.1.3 AUTOSAR OS裁剪类型1.1.4 AUTOSAR OS软件分区1.2 AUTOSAR OS自旋锁1.3 AUTOSAR OS核间通信1.4 AUTOSAR OS多核调度前文回顾 在上篇文章【补充篇】AUTOSAR多核OS介绍(上)中,…

对于一个36岁的人来说,现在转行AI大模型还来得及吗?

前言 在职场生涯中,33岁似乎是一个尴尬的年龄。许多人在这个阶段已经定型,难以寻求新的突破。然而,随着科技行业的飞速发展,人工智能成为了新时代的宠儿。那么,对于一个33岁的人来说,现在转行AI大模型还来…

做SSH实验下载 paramiko库

今天做SSH实验下载paramiko库文件一直出问题,后面库文件下好了还是报错,这里记录了我的解决方案。 pycharm修改默认下载路径为国内镜像(我这里用清华大学的镜像下载快一些) Simple Index 到这里路径就改好了,接下来就…