CA服务器配置原理与图解过程

实验 5-1 CA证书的安装、申请及在Web中的应用1、实验目的通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作用，以win2003 server CA中心为例，学会客户端如何从独立CA中心申请数字证书，CA中心如何签发证书。

2、实验原理2.1 PKI基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。

PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。

一个典型的PKI系统应包括如下组件：（1）安全策略安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

（2）证书操作阐述CPS（Certificate Practice Statement）一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务，所以需要提供CPS给其使用者参考，以供其了解详细的运作机理。

CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册和认证的等内容。

（3）证书认证机构CA（Certificate Authority）CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。

CA的作用主要包括如下几个方面：发放证书，用数字签名绑定用户或系统的识别号和公钥。

规定证书的有效期。

通过发布证书废除列表（CRL）确保必要时可以废除证书。

（4）注册机构RA（Registration Authority）RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书申请，审核用户的身份，并为用户向CA提出证书请求，最后将申请的证书发放给用户。

ca证书和服务器证书区别ca证书和服务器证书区别一般的CA证书，可以直接在WINDOWS上生成。

通过点对点原理，实现数据的传输加密和身份核实功能。

CA服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。

网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。

高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。

CA证书的生成简单免费，而CA服务器证书成本较高，一般在5000-20000元/年，所以需要此服务的企业或机构以金融类行业为首。

如果企业需要CA服务器证书来杜绝钓鱼网站的侵害，可以选择安信保认证标识，它集成了服务器证书服务。

是目前看到最便宜的了，比较适合企业使用。

天威诚信服务器证书安装配置过程中服务器证书中级CA证书如何获取？证书文件就是从收到的证书邮件里，按照顺序，把-----BEGIN CERTIFICATE-----开头到-----END CERTIFICATE------结尾的代码，复制到一个txt文本里，注意这些头尾的信息都要包含。

常见的是2段或者3段。

保存为server.pem即可。

私钥文件为产生CSR同时产生的密钥文件，录入是以文本格式打开，复制私钥编码。

证书文件就是从收到的证书邮件里，按照顺序服务器证书和SSL证书是否一样？本质上是一样的，只是不同的名字。

只是前者是从技术角度命名，后者是从用途角度命名的，都是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。

对于网上电子商务来讲，用户在向网站提交机密信息之前，如果不能信任网站，那再高强度的加密也是没有用的，因为加密只是一种技术保护措施。

百度上搜一下天威诚信数字认证中心网址，你自己看吧，上面有很多详细资料的。

很不错服务器证书哪里申请？服务器证书推荐？CA颁发机构申请每个申请都是非常昂贵的我们自己颁发的证书是不被信任的，这就是为什么有的网站会出现证书不可信任服务器证书和SSL证书是同一种证书么?可以到天威诚信的网站上了解一下哦，有很多白皮书。

windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：加装步骤一、安装证书服装器用一个证书的服务器去颁授证书，然后再采用这个证书。

ca的公用名称：windows2021a二、要在配置的网站上申请证书(草稿）找出我们布局的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，回去提出申请一个证书。

“新建一个证书”，在国家时“必须挑选cn中国“，下面省市：江苏省，邳州市，最后必须分解成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式宣布向证书机构回去提出申请一个证书（正式宣布提出申请）local本地host是主机：localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。

1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件：certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁授证书到“证书颁发机构”-选择\挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

2、查阅挂上的证书提出申请的状态，如果存有一个，就浏览这个证书：用base64这个类型的证书，把这个证书留存起至c：\\certnew.cer这样一个崭新证书。

六、使用这个证书来完成ca服务器的配置。

右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到c：\\certnew.cer这样一个证书用上就可以了。

七、采用ssl(安全地下通道）功能去出访网页方法是：右击“myweb\这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。

CA证书颁发机构（中心）安装图文详解如果你需要在组织里发布exchange，或者需要给IIS配置SSL的访问方式，则需要部署CA，关于CA的应用，后续会有几篇文章来专门叙述，本文仅仅介绍CA证书颁发机构的安装，这也是SSL应用的基础工作。

阅读本文，你将了解到以下内容◆什么是CA及CA的作用◆安装CA的准备条件◆如何CA安装◆何为根证书在安装CA前，我们需要了解什么是CA。

字面上理解，CA即Certificate Authority ，也就是证书授权中心，对于这6个字，如何理解？来帮大家逐字分析一下：中心：可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台授权：可以理解为，如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证，获得许可以后才可以继续操作。

证书：证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

总结一下，为了实现证明及安全的目的，我们建立了一套系统或者平台，它可以用来证明某些事物的合法性和真实存在性，并且为此提供足够强的保护，从而来抵御外界的攻击。

这就是证书认证系统或者证书授权中心。

概念似乎很抽象，不过后面会讲到更多的应用，当你理解这些应用后，再回过头来看这段话就会觉得很好理解。

我们开始吧，首先介绍一下CA安装的基础环境。

基础环境：1、服务器版本操作系统，2000ser或2003 ser ,2008 ser等2、安装CA前，请先安装好IIS。

一、安装CA1、首先打开添加与删除程序，找到添加与删除组件，找到证书服务当我们选中证书服务的时候，系统会弹出一个提示大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中，所以装完CA后无法修改计算机名称，我们这里点击YES，这里有4种CA类型可供选择。

有2大类，企业根CA和独立根CA，各自又有一个从属的CA。

从属CA是为上级CA授权给下级CA机构来颁发证书准备的，就范围和功能性而言，企业CA较独立CA更广，更强大。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

CA证书和TLS介绍数字签名⽤⾃⼰的私钥给数据加密就叫数字签名公钥传输威胁在A和B的通信中,C可以把⾃⼰的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反⽽⽆法解密,⽽C却可以解密出数据.从⽽实现C截获AB之间的数据所以在两者的通信中必须要对公钥的来源进⾏确认A和B如果想安全交换公钥,就必须通过CA(证书颁发机构) 证书的通信过程 A和B⾸先都内置了CA的公钥根CA的证书是⾃⼰给⾃⼰签名的(⾃签名)CA和证书PKI: Public Key Infrastructure签证机构：CA（Certificate Authority）注册机构：RA证书吊销列表：CRL证书存取库： X.509：定义了证书的结构以及认证协议标准版本号序列号签名算法颁发者有效期限主体名称主体公钥 CRL分发点扩展信息发⾏者签名SSLSSL(Secure Socket Layer)和TLS(Transport Layer Security )本⾝是⼀个东西实现功能: 机密性认证完整性重放保护(正确同样的数据不能重复发送)两阶段协议，分为握⼿阶段和应⽤阶段握⼿阶段(协商阶段):客户端和服务器端认证对⽅⾝份（依赖于PKI体系，利⽤数字证书进⾏⾝份认证）,并协商通信中使⽤的安全参数、密码套件以及主密钥.后续通信使⽤的所有密钥都是通过MasterSecret⽣成。

应⽤阶段:在握⼿阶段完成后进⼊,在应⽤阶段通信双⽅使⽤握⼿阶段协商好的密钥进⾏安全通信taobao 证书 https的通信过程taobao 证书内容包含 SCA(Ptaobao) CA密钥加密签名过的taobao公钥 + CA证书描述+过期时间+证书其它信息 taobao⽹站把证书发给客户端客户端由于信任CA并且拿到了CA的公钥,就可以解密SCA(Ptaobao) 获得taobao的公钥 Ptaobao客户端(浏览器)会在本地⽣成⼀个对称密钥(key)⽤taobao的公钥加密发送给taobao Ptaobao(key) sendto taobaotaobao通过⾃⼰的私钥解密得到客户端发送过来的key Staobao(Ptaobao(key)) = key 这样在客户端和服务端都存在相同的对称密钥key客户端和服务端就可以通过key(data)对⼤量的⽹页数据进⾏对称加密,实现通信双⽅的安全通信OpenSSL 开源实现证书申请和颁发base64编码是6bit编码包含字符a-z,A-Z,/,+ 总共64个符号⽣成私钥openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS (umask 077; openssl genrsa –out test.key –des 2048) -des表⽰对密钥对称称加密openssl rsa -in test.key –out test2.key 将加密key解密从私钥中提取出公钥openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE openssl rsa –in test.key –pubout –out test.key.pub实验:向CA申请证书建⽴Root CA1. 创建CA重要的配置⽂件openssl的配置⽂件：/etc/pki/tls/f2. 默认CA的⼯作⽬录在 /etc/pki/CA1 [root@centos7 ~]# cd /etc/pki/CA2 #创建CA服务器的私钥3 [root@centos7 CA]# (umask 077;openssl genrsa -out private/cakey.pem 4096)4 Generating RSA private key, 4096 bit long modulus5 ...................................................++6 ..............................................................................................................................................................................................................................................................................................++7 e is 65537 (0x10001)8 [root@centos7 CA]# ls private9 cakey.pem1011 #根CA给⾃⼰的私钥签名证书12 [root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365013 You are about to be asked to enter information that will be incorporated14 into your certificate request.15 What you are about to enter is what is called a Distinguished Name or a DN.16 There are quite a few fields but you can leave some blank17 For some fields there will be a default value,18 If you enter '.', the field will be left blank.19 -----20 Country Name (2 letter code) [XX]:CN21 State or Province Name (full name) []:beijing22 Locality Name (eg, city) [Default City]:beijing23 Organization Name (eg, company) [Default Company Ltd]:mage24 Organizational Unit Name (eg, section) []:M3025 Common Name (eg, your name or your server's hostname) []:26 Email Address []:27 #以可读的⽂本格式显⽰证书内容28 [root@centos7 CA]# openssl x509 -in cacert.pem -noout -text29 Certificate:30 Data:31 Version: 3 (0x2)32 Serial Number:33 f9:72:0f:e1:6c:80:e3:aa34 Signature Algorithm: sha256WithRSAEncryption35 Issuer: C=CN, ST=beijing, L=beijing, O=mage, OU=M30, CN=36 Validity37 Not Before: May 1908:58:142018 GMT38 Not After : May 1608:58:142028 GMT39 Subject: C=CN, ST=beijing, L=beijing, O=mage, OU=M30, CN=40 Subject Public Key Info:41 Public Key Algorithm: rsaEncryption42 Public-Key: (4096 bit)43 Modulus:4400:e4:70:ef:fe:9a:43:87:41:ca:05:3d:a6:98:df:4589:19:64:ac:fb:24:04:42:be:bc:87:7a:e9:b5:be:46 9d:21:40:cf:c7:08:a1:ab:8e:03:92:29:e9:50:ed:47dd:8d:06:3c:5f:fa:23:9f:96:04:76:b9:be:56:43:4858:f8:43:db:24:cf:79:87:be:cc:bd:c0:af:41:04:49 d4:e1:6b:78:fb:b1:74:8e:25:93:22:9e:f1:22:98:5097:7e:dd:dc:af:45:97:93:16:93:8a:89:5c:b0:00:5162:a5:2f:72:ec:54:aa:3a:ec:0b:24:72:34:4a:c0:5270:ab:02:d8:36:53:93:d1:cc:98:43:a9:a8:f2:3b:53 b7:fb:be:44:64:9d:c6:bb:7d:16:b5:39:d1:1f:6d:54 e2:89:c7:9f:b7:e6:10:87:37:01:41:25:af:61:b5:55 7c:93:3c:bd:75:cb:46:ff:0e:e2:58:92:aa:25:2b:5606:b1:25:27:e5:7d:76:02:d8:c5:63:db:d0:e6:ab:57 ef:ce:69:37:7e:eb:b1:f3:59:05:e1:bf:47:b7:d1:58 4c:59:45:c9:d6:f0:35:dd:95:b0:c2:69:5b:7e:83:59 3e:64:8e:66:28:ba:06:f4:99:30:00:4d:76:72:a3:6016:d7:7e:f1:9e:9d:fe:15:88:d0:b8:e4:8f:cd:56:61 c3:89:5c:cf:40:a5:2b:9d:38:56:e2:30:09:85:22:62 b2:f6:58:20:c2:c0:65:b9:0e:61:f0:b3:a2:94:ea:6357:72:77:90:26:7d:90:11:98:18:52:ab:dc:a1:78:6468:0d:f0:d8:6b:01:c5:5d:e5:ca:a5:36:68:81:ba:65 ca:4c:b9:98:fd:f4:54:e3:eb:7f:3d:30:50:34:a6:66 5e:38:1c:82:93:9b:91:76:34:ab:df:e8:95:dd:2e:67 d0:c6:98:c5:77:a6:67:13:aa:96:3f:7c:70:7e:54:6850:77:cc:5c:d0:70:34:93:90:4a:83:25:d8:1e:1d:69 6c:17:3c:84:20:df:ee:78:28:e7:63:7f:d5:44:9c:70 c3:cb:ec:78:a7:2f:05:dc:e7:e9:20:32:34:38:66:71 fc:1f:54:79:64:bc:92:e9:59:c5:bf:35:4c:aa:1f:7293:7a:e7:8c:29:b2:58:03:bf:4f:19:36:da:2f:bd:7300:e0:0e:cd:32:09:0b:c7:1d:6c:12:19:b4:fa:4c:74 a2:b0:24:be:d3:1e:47:55:17:c3:14:ce:cd:af:01:75 ca:d8:48:44:12:40:99:f2:9f:87:1e:ea:2f:cb:0f:76 a7:0d:b7:99:d5:e1:3b:68:50:00:80:6f:59:7c:19:7796:72:51:bb:9d:6b:02:01:c1:7b:88:d9:20:57:64:78 1f:86:9579 Exponent: 65537 (0x10001)80 X509v3 extensions:81 X509v3 Subject Key Identifier:82 C6:80:BB:D0:7D:12:F4:EF:1A:69:CD:92:D3:F7:E1:3D:8A:27:CD:7683 X509v3 Authority Key Identifier:84 keyid:C6:80:BB:D0:7D:12:F4:EF:1A:69:CD:92:D3:F7:E1:3D:8A:27:CD:76 8586 X509v3 Basic Constraints:87 CA:TRUE88 Signature Algorithm: sha256WithRSAEncryption89 a0:df:1a:b4:22:69:a7:8f:92:8b:c0:67:91:66:df:5f:0f:47:90 2d:2e:6a:fd:d7:21:48:29:46:e7:7e:9b:6a:46:32:04:39:c2:91 fb:06:2e:eb:d2:f5:25:16:f7:03:f9:d1:e5:d1:d8:1d:96:8e:9222:fc:37:d7:22:97:36:4c:2c:f2:8f:09:24:5b:61:a2:29:13:9348:21:c9:db:1e:1e:24:18:d0:02:2f:ff:35:fd:21:4c:b6:af:9436:33:8a:d0:2f:22:75:f4:89:8b:99:4f:32:69:55:35:13:35:9500:d4:f3:82:44:5f:25:a8:82:1c:51:01:31:e2:7b:c0:72:0a:96 5d:a8:a8:37:30:a7:64:e5:2b:86:e4:92:57:59:ae:0b:a9:7b:97 fa:be:64:be:7a:d4:f1:6a:1d:9e:07:d4:79:7d:9c:d9:c5:98:98 ec:fc:d0:0d:55:45:41:81:c9:5a:d1:0e:ba:f1:14:c1:43:ea:9926:62:a3:c2:8f:fe:54:fe:03:9d:8c:ca:96:48:66:9f:83:88:100 c3:e7:d8:6b:e9:43:34:3c:77:b6:2f:97:54:65:39:74:09:a5:101 a3:c6:d1:aa:52:7b:d3:91:44:32:ee:1a:45:40:ff:1e:46:b9:10247:06:68:6e:91:a6:88:77:4a:df:07:bd:81:ae:6e:a0:2d:67:10339:15:b6:9b:28:e3:0a:34:bf:0d:f0:01:af:8a:f2:2b:8b:3f:10412:a7:8b:cf:c4:eb:c5:bc:58:58:10:6a:84:85:26:01:39:9a:105 fa:aa:1a:dc:83:46:61:1b:12:90:ad:5a:d7:67:78:68:a9:8c:10672:71:f0:64:b7:bf:08:85:9b:71:4a:3f:00:94:43:a7:73:3b:107 c3:95:da:07:1f:8b:ca:f4:d7:a4:af:34:95:42:a5:e0:46:e8:10818:22:29:c4:b7:b0:a0:9a:7b:e8:e5:b1:11:67:07:f3:7d:bd:109 f7:2f:5f:65:5e:32:5d:0c:65:a1:70:ad:50:6c:02:5c:a5:e6:110 0c:41:c9:26:9d:95:c4:1b:df:26:a2:43:4f:b6:e0:98:6f:ba:111 cb:83:e6:1c:00:ba:d6:48:cc:a4:2e:8d:cc:6c:f4:9d:5a:ee:11262:0e:57:e2:2e:1f:8c:6c:cd:a3:2d:63:4b:0f:6b:11:bd:18:11347:23:0b:b7:7c:fc:d5:45:01:6e:72:a0:7c:43:29:6b:ef:dd:11433:d1:39:2a:14:cd:c3:2e:91:4f:78:3d:e2:08:a5:dd:bd:00:115 aa:18:19:48:03:3a:a1:9d:1c:e7:c3:87:51:a4:42:7a:fd:7f:11690:40:c6:bb:ba:8e:22:be:63:5a:10:bb:a4:fd:ef:21:4f:d1:11784:a9:fb:2e:61:cc:b0:76118119 [root@centos7 CA]# openssl x509 -in cacert.pem -noout -issuer120 issuer= /C=CN/ST=beijing/L=beijing/O=mage/OU=M30/CN=创建CA服务器⽤户或者服务器申请证书1.⽣成私钥⽂件[root@yxh6 data]# (umask 077;openssl genrsa -out app.key 1024)Generating RSA private key, 1024 bit long modulus ..............................++++++.....................++++++e is 65537 (0x10001)[root@yxh6 data]# lsapp.key2.利⽤私钥⽂件⽣成申请⽂件[root@yxh6 data]# openssl req -new -key app.key -out app.csrYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:beijingLocality Name (eg, city) [Default City]:beijingOrganization Name (eg, company) [Default Company Ltd]:mageOrganizational Unit Name (eg, section) []:M30Common Name (eg, your name or your server's hostname) []:Email Address []:Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:[root@yxh6 data]# lsapp.csr app.key3.将申请⽂件发送给CAscp app.csr 192.168.33.130:/etc/pki/CA4.CA颁发证书回到CA服务器执⾏颁发证书touch index.txtecho 0F > serial[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 100Using configuration from /etc/pki/tls/fCheck that the request matches the signatureSignature okCertificate Details:Serial Number: 15 (0xf)ValidityNot Before: May 1909:35:372018 GMTNot After : Aug 2709:35:372018 GMTSubject:countryName = CNstateOrProvinceName = beijingorganizationName = mageorganizationalUnitName = M30commonName = X509v3 extensions:X509v3 Basic Constraints:CA:FALSENetscape Comment:OpenSSL Generated CertificateX509v3 Subject Key Identifier:71:DC:D4:AE:8A:5A:16:A4:13:62:D7:3A:C9:C7:DD:A7:9C:95:B0:4FX509v3 Authority Key Identifier:keyid:C6:80:BB:D0:7D:12:F4:EF:1A:69:CD:92:D3:F7:E1:3D:8A:27:CD:76Certificate is to be certified until Aug 2709:35:372018 GMT (100 days)Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated[root@centos7 certs]# lsapp.crt5.证书发送客户端scp app.csr 192.168.33.129:/data客户端可以拿着这个证书在应⽤程序中使⽤CA签发证书(客户端)windows下查看⽣成的证书信息和安装证书可以把证书cacert.pem下载到windows中进⾏可视化查看证书信息需要.pem(cacert.pem)后缀名改成windows能识别的.cer(cacert.cer)或者.crt 点击安装证书可以把此证书安装到可信任的证书路径中证书管理查看证书中的信息：openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|datesopenssl ca -status SERIAL 查看指定编号的证书状态吊销证书在客户端获取要吊销的证书的serialopenssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject在CA上,根据客户提交的serial与subject信息,对⽐检验是否与index.txt⽂件中的信息⼀致,吊销证书：openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem指定第⼀个吊销证书的编号,注意:第⼀次更新证书吊销列表前,才需要执⾏ echo 01 > /etc/pki/CA/crlnumber更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl.pem查看crl⽂件： openssl crl -in /etc/pki/CA/crl.pem -noout -textSSH安全服务ssh: secure shell, protocol, 22/tcp, 安全的远程登录两种⽅式的⽤户登录认证：1.基于password1.客户端向服务端发送SSH请求2.服务端收到请求,发送公钥给客户端3.客户端输⼊⽤户名和密码通过公钥加密回传给服务端4.服务端通过私钥解密得到⽤户名和密码和本地的⽤户名密码进⾏验证匹配2.基于key1.⾸先在客户端⽣成⼀对密钥对2.客户端将公钥拷贝给服务端并重命名为 authorized_keys3.客户端向服务端发送⼀个连接请求,信息包括ip,⽤户名4.服务端得到客户端消息后,会到authorized_keys查找是否有对应信息并且随机⽣成⼀个字符串5.服务端把随机⽣成的字符串⽤客户端公钥加密发送给客户端6.客户端接收到加密字符串后⽤⾃⼰的私钥对字符串进⾏解密,并且把解密后的字符串发送给服务端7.服务端会把接收到的字符串和原来⾃⼰⽣成的随机字符串进⾏验证匹配ssh客户端：1.客户端配置⽂件 /etc/ssh/ssh_config ssh服务端的配置⽂件 /etc/ssh/sshd_configssh客户端会在第⼀次连接的时候把远程主机的公钥下载到本机,如果需要冒充其它已经连接过的主机,需要把对⽅的私钥拷贝到本地来实现基于ssh key的认证实现指定⽤户⽆密码连接,默认是root⽤户在ssh-copy-id命令中指定特定的⽤户名就会把公钥⽂件拷贝到指定⽤户的家⽬录下ssh-copy-id yxh@192.168.33.1301.在客户端⽣成密钥对[root@yxh6 data]# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:84:69:ce:6b:19:1d:09:c4:94:66:06:2e:76:57:8b:0b root@yxh6.localdomainThe key's randomart image is:+--[ RSA 2048]----+| .=+.. || . ** o || o E+* = || . o * + . || = S || + || + || . || |+-----------------+[root@yxh6 data]# cd /root/.ssh[root@yxh6 .ssh]# lsid_rsa id_rsa.pub known_hosts2.把公钥复制到服务端主机[root@yxh6 .ssh]# ssh-copy-id192.168.33.130root@192.168.33.130's password:Now try logging into the machine, with "ssh '192.168.33.130'", and check in:.ssh/authorized_keysto make sure we haven't added extra keys that you weren't expecting.3.直接连接远程主机[root@yxh6 .ssh]# ssh192.168.33.130Last login: Sat May 1917:31:502018 from 192.168.33.1this is etc/motd,welcome....[root@centos7 ~]#View Code多台主机之间实现相互key认证登录1.在⼀台主机A上⽣成⼀对密钥对所有主机使⽤同⼀密钥2.ssh-copy-id A3.scp -rp /root/.ssh B:/root4.scp -rp /root/.ssh C:/rootssh key认证脚本⾃动化expect匹配输出规则：#Are you sure you want to continue connecting (yes/no)? #root@192.168.33.129's password:1⽣成ip列表⽂件2 [root@centos7 .ssh]# cat ip.txt3192.168.33.1294192.168.33.13056 #!/bin/bash7 rpm -q expect &> /dev/null || yum install -y expect8ssh-keygen -P "" -f "/root/.ssh/id_rsa"9 password=root10while read ipaddr;do11echo $ipaddr12 expect <<EOF13 spawn ssh-copy-id $ipaddr14 expect {15"yes/no" { send "yes\n";exp_continue } 16"password:" { send "$password\n" }17 }18 expect eof19 EOF20done < ip.txt2122给脚本⽂件设置执⾏权限23chmod +x ssh_key.sh2425执⾏脚本26 ./ssh_key.shView Code。