標籤:認證
在平時訪問網站時總會遇到一些不信任網站,例如12306網站。那思考過如何把那些不受信任的網站變為信任呢。
一、windows中出現的不信任網站該如何解決。
①按F12(我用的qq瀏覽器)查看認證,並且把認證匯出。
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M01/07/44/wKiom1nGKOPDcoXPAADZbtwTxPA999.png" title="1.png" alt="wKiom1nGKOPDcoXPAADZbtwTxPA999.png" />
②開啟認證開始傻瓜式安裝認證。
650) this.width=650;" src="https://s5.51cto.com/wyfs02/M02/A5/F5/wKioL1nGKiCy1wnkAAF6Uc1hdYs806.png" title="1.png" alt="wKioL1nGKiCy1wnkAAF6Uc1hdYs806.png" />
③匯入到可根信任憑證授權單位。
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/07/44/wKiom1nGKoPDOQeiAADGeSfjEU0113.png" title="2.png" alt="wKiom1nGKoPDOQeiAADGeSfjEU0113.png" />
④然後下次訪問就不會再次提醒是不信任網站了。
二、那centos中中認證又該如何頒發的呢。
在瞭解centos頒發認證之前先瞭解一下openssl的設定檔:/etc/pki/tls/openssl.cnf
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M01/A6/18/wKioL1nI8m6QyrDGAADOy0pEgio407.png" style="float:none;" title="1.png" alt="wKioL1nI8m6QyrDGAADOy0pEgio407.png" />
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/07/66/wKiom1nI8qqRA35UAAD5TOetHjA109.png" style="float:none;" title="2.png" alt="wKiom1nI8qqRA35UAAD5TOetHjA109.png" />
實驗:模仿該如何建立CA和如何給用戶端頒發認證。
假設:centos7為伺服器 centos6為用戶端
(1)伺服器建立CA,即自己為CA。
三種策略:匹配、支援和可選
匹配指要求申請填寫的資訊跟CA設定資訊必須一致,支援指必須填寫這項申請資訊,可選指可有可無
①建立所需要的檔案
touch /etc/pki/CA/index.txt 產生認證索引資料庫檔案(必須建立,而且檔案名稱字必須一樣,不然後期報錯)
echo 00 > /etc/pki/CA/serial 指定第一個頒發認證的序號(必鬚生成,序號可以隨意)
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M00/A6/18/wKioL1nI9WPQxCPXAABIK2ngGbo229.png" title="1.png" alt="wKioL1nI9WPQxCPXAABIK2ngGbo229.png" />
②CA自簽認證。
CA先產生私密金鑰。
命令:(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M02/A6/18/wKioL1nI9yqRwAtSAAApJwJOFYI213.png" title="1.png" alt="wKioL1nI9yqRwAtSAAApJwJOFYI213.png" /> CA自己給自己頒發認證
命令:openssl req -new -x509 –key/etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
裡面的具體選項含義如下:
-new: 產生新認證簽署請求
-x509: 專用於CA產生自簽認證,如頒發給伺服器不用此項
-key: 產生請求時用到的私密金鑰檔案
-days n:認證的有效期間限
-out /PATH/TO/SOMECERTFILE: 認證的儲存路徑
650) this.width=650;" src="https://s3.51cto.com/wyfs02/M00/A6/18/wKioL1nI-UTBKH2OAACtoKetwyk949.png" title="1.png" alt="wKioL1nI-UTBKH2OAACtoKetwyk949.png" /> (2)CA給客服端頒發認證
用戶端產生認證請求,並發送給CA,讓CA簽署認證並頒發給用戶端。
①用戶端產生私密金鑰。
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M02/A6/1A/wKioL1nJDTiTRwvOAAAvQog5UMU411.png" title="1.png" alt="wKioL1nJDTiTRwvOAAAvQog5UMU411.png" />
②用戶端產生認證請求。
650) this.width=650;" src="https://s5.51cto.com/wyfs02/M00/07/68/wKiom1nJEDLx-32bAACj4Z7vV3s089.png" title="1.png" alt="wKiom1nJEDLx-32bAACj4Z7vV3s089.png" />
③將認證請求發送給CA伺服器端。
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M01/07/67/wKiom1nJBYrT9oPXAAAeemfpuo4940.png" title="1.png" alt="wKiom1nJBYrT9oPXAAAeemfpuo4940.png" /> ④CA伺服器簽署認證,並發送給客服端。
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M00/A6/1A/wKioL1nJEBuD3h10AAC-q-feNC8803.png" title="1.png" alt="wKioL1nJEBuD3h10AAC-q-feNC8803.png" /> ⑤CA簽署好的認證發送給用戶端。
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M00/07/69/wKiom1nJEdzSn-zyAAAc-tkzJ7I698.png" title="1.png" alt="wKiom1nJEdzSn-zyAAAc-tkzJ7I698.png" />
⑥查看用戶端裡面的認證。
650) this.width=650;" src="https://s3.51cto.com/wyfs02/M02/07/69/wKiom1nJEsWxkHy5AABp2Dz7TYg329.png" title="1.png" alt="wKiom1nJEsWxkHy5AABp2Dz7TYg329.png" />
三、吊銷認證的步驟。
①在用戶端擷取要撤銷憑證的serial
命令:openssl x509 -in test.crt -noout -serial -subject
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/A6/1A/wKioL1nJE7rC_sMoAAAf96rkjDU074.png" title="1.png" alt="wKioL1nJE7rC_sMoAAAf96rkjDU074.png" /> ②在CA上,根據客戶提交的serial與subject資訊,對比檢驗是否與index.txt檔案中的資訊一致,吊銷認證
650) this.width=650;" src="https://s1.51cto.com/wyfs02/M00/A6/1A/wKioL1nJFbqAPynpAAAht996HkU250.png" title="1.png" alt="wKioL1nJFbqAPynpAAAht996HkU250.png" /> 通過對比發現資訊一樣,所以可以吊銷認證
命令:openssl ca -revoke /etc/pki/CA/newcerts/00.pem
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/A6/1A/wKioL1nJFmHCLcc0AABqvR6bcTw489.png" title="1.png" alt="wKioL1nJFmHCLcc0AABqvR6bcTw489.png" />
③指定第一個吊銷認證的編號
命令:echo 01 > /etc/pki/CA/crlnumber(編號可以自己寫)
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M00/07/6B/wKiom1nJpXyzPvs5AAAuhDDKIF4979.png" title="1.png" alt="wKiom1nJpXyzPvs5AAAuhDDKIF4979.png" />
④在CA上更新憑證撤銷清單
650) this.width=650;" src="https://s3.51cto.com/wyfs02/M00/07/6B/wKiom1nJpoXwrhIFAACjB1yXwuM205.png" title="1.png" alt="wKiom1nJpoXwrhIFAACjB1yXwuM205.png" />
⑤在物理機上查看撤銷憑證。
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M00/A6/1D/wKioL1nJpprD3isfAAAmLJg5uzk026.png" title="1.png" alt="wKioL1nJpprD3isfAAAmLJg5uzk026.png" />
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/07/6B/wKiom1nJp2OSHhRgAAErDOHQY1k919.png" title="1.png" alt="wKiom1nJp2OSHhRgAAErDOHQY1k919.png" />
吊銷認證成功,後期應該發布到官方網站,讓大家都知道。到此關於認證就這麼多了,其他的暫時還沒有想起來,有錯誤的歡迎指出。
windows和centos認證