Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >CLB绑定CA自认证证书

CLB绑定CA自认证证书

原创
作者头像
用户5755052
修改于 2023-11-06 08:30:42
修改于 2023-11-06 08:30:42
75800
代码可运行
举报
文章被收录于专栏:踩坑之旅踩坑之旅
运行总次数:0
代码可运行

背景:

SSL 双向认证需要验证客户端和服务端的身份。SSL 双向认证的流程如下图所示。

腾讯云负载均衡CLB中创建HTTPS监听器,选择双向认证时,用户可以上传自认证的CA证书进行绑定。

一、生成自认证CA证书

1.安装OpenSSL

1.1 登录到一台Linux机器,前往官网https://www.openssl.org/下载压缩包,并解压。

1.2 进入openssl目录,创建安装目录openssl_install

1.3 指定安装的路径,最好使用绝对路径。安装完成后分别运行make和make install命令进行编译安装。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
./config shared --prefix=/home/root/openssl_install --openssldir=/home/root/openssl_install/ssl
make
make install

1.4 检查OPENSSL是否安装成功

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
openssl version -a

2.生成CA自认证证书

2.1. 搭建CA环境

创建文件夹test作为CA的路径。并创建文件夹./demoCA ./demoCA/newcerts ./demoCA/private作为配置文件路径。

cp openssl.cnf ~/test 复制配置文件openssl.cnf到test下。

记得vim openssl.cnf修改openssl.cnf配置文件中的参数,将保存路径修改为我们新建的文件路径。

2.2. 生成根私钥

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
openssl genrsa -aes256 -out demoCA/private/cakey.pem 2048  --生成CA私钥

Enter pass phrase for demoCA/private/cakey.pem:   ----设置根私钥的保护密码

2.3.生成根证书请求文件

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
openssl req -config openssl.cnf -new -key demoCA/private/cakey.pem -out demoCA/careq.pem
                                                   ----生成CA根证书申请文件careq.pem
Enter pass phrase for demoCA/private/cakey.pem:    --输入根私钥密码  

后续Country Name、State or Province Name等信息按自己情况填写。

2.4.生成自签发根证书

1)生成根证书前,需要修改openssl.cnf文件:

修改[v3_req]字段中的basicConstraints为TRUE。CA:FALSE值即表示该证书请求不是CA证书请求,而是普通的终端用户证书请求。将其修改为TRUE后,利用这个配置文件作为req指令的配置文件,其生成的证书请求就是一个申请CA证书的证书请求

*修改[usr_cert]字段中的basicConstraints为TRUE。该值表示在ca签署请求时添加此扩展属性。腾讯云会对证书的CA属性进行严格校验,如果没有CA的扩展属性的话,是不允许上传的。

2)生成根证书

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
openssl ca -config openssl.cnf -out demoCA/cacert.pem -keyfile demoCA/private/cakey.pem -selfsign -infiles demoCA/careq.pem
--生成CA自签发根证书
Enter pass phrase for demoCA/private/cakey.pem:
--输入根私钥密码

二、上传证书并绑定

1.上传证书

生成根证书demoCA/cacert.pem

腾讯云SSL证书控制台上传生成的CA证书。

证书类型选择CA证书,签名证书内容是以-----BEGIN CERTIFICATE-----为开始,以-----END CERTIFICATE-----为结尾的信息。

此时,控制台上就可以看到我们上传的绑定域名为Mylb,ID为dcpE为结尾的证书。

2.绑定证书

此时在负载均衡控制台上即可看到此CA证书进行绑定。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
openssl生成cer证书_tls证书生成
wget http://www.openssl.org/source/openssl-1.0.0a.tar.gz
全栈程序员站长
2022/11/04
2.9K0
CA中心构建及证书签发实录
本实验中,我们将通过开源工具OpenSSL构建一个私有CA中心,并以其为根CA,设立一个子CA机构,并为Client提供证书签署服务。
用户1456517
2019/03/05
1.4K0
CA中心构建及证书签发实录
基于 OpenSSL 的 CA 建立及证书签发
前段时间研究了一下 SSL/TLS ,看的是 Eric Rescorla 的 SSL and TLS - Designing and Building Secure Systems 的中文版(关于该中文版的恶劣程度,我在之前的一篇 Blog 中已做了严厉的批判)。本书的作者沿袭了 Stevens 在其神作 TCP/IP Illustrated 中的思想:使用网络嗅探进行协议演示。不同的是,作者并没有使用 tcpdump ,而是使用了自己编写的专用于嗅探 SSL/TLS 通讯的ssldump 。为了对书中的一些内容进行试验确认,我决定使用 ssldump 进行一些实验。然而,进行 SSL/TLS 通讯,至少需要一份 CA 签发的证书才可以得以完成,仅仅是做个实验,我自然不会花天价去买个证书,所以决定自己建 CA 签发证书。
呆呆
2021/05/26
2.3K0
利用httpd+OpenSSL来实现网站的https
                                        CA验证中心(颁发/吊销证书)                                         /                \ \                                  CA 证书    /            下发  \ \ 证书请求                                         /            证书  \ \                                   client <--------数字证书------ WEB
星哥玩云
2022/06/30
2650
自从掌握了网络安全,工资直接翻了番,真香!
早期的互联网 -- 1980年代,我们需要共享数据,传输数据;所传输或者共享的数据均为明文,随着互联网发展,安全成为了国家的一种战略资源。我们做的,比如编程,运维 -- 手工业安全属于一种科学研究--安全的算法都是需要以数学难题为基础来进行研究,每个国家都疯狂的去研究自己的加密算法,以及去破译别人的加密算法;美国--禁止出口长于256位的加密算法,DH算法 -- 密钥交换(交换对称密钥)。
Java程序猿
2023/02/24
4500
利用httpd+openssl来实现网站的https
                                        CA验证中心(颁发/吊销证书)                                         /                 \ \                                  CA 证书    /             下发   \ \ 证书请求                                          /             证书   \ \                                    client <--------数字证书------ WEB 1。web服务器,生成非对称加密密钥对(web公钥,web私钥) 2。web服务器使用 web身份信息+web公钥 生成 web服务器的证书请求 ,并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。 4。client访问web服务器,请求https连接,下载web数字证书 5。client下载 CA数字证书(CA身份信息+CA公钥,由上一级CA颁发,也可自签名颁发),验证 web数字证书(CA数字证书中有CA公钥,web数字证书是使用CA私钥签名的) 6。client与web协商对称加密算法,client生成对称加密密钥并使用web公钥加密,发送给web服务器,web服务器使用web私钥解密 7。使用对称加密密钥传输数据,并校验数据的完整性 利用httpd+openssl来实现网站的https
DevinGeng
2019/04/09
4590
HTTPS静态服务搭建过程详解
HTTPS服务对于一个前端开发者来说是一个天天打招呼的老伙计了,但是之前我跟HTTPS打交道的场景一直是抓包,自己没有亲自搭建过HTTPS服务,对HTTPS的底层知识也是一知半解。最近正好遇到一个用户场景,页面需要调起手机的摄像头,这就要求页面服务必须是HTTPS的,所以就尝试搭建了HTTPS的静态服务,过程挺曲折的,所以总结一下分享给大家,希望能给看过本文的朋友一点帮助,提高工作效率。 本文主要讲三个点:HTTPS基本原理、证书的获取和httpd的https配置。 HTTPS基本原理 HTTPS = H
用户1217459
2018/01/31
9220
HTTPS静态服务搭建过程详解
使用OpenSSL创建CA和申请证书
OpenSSL是一种加密工具套件,可实现安全套接字层(SSL v2 / v3)和传输层安全性(TLS v1)网络协议以及它们所需的相关加密标准。
星哥玩云
2022/07/31
2.9K0
使用OpenSSL创建CA和申请证书
OpenSSL - 利用OpenSSL自签证书和CA颁发证书
秘钥操作 这个命令会生成一个1024/2048位的密钥,包含私钥和公钥。 openssl genrsa -out private.key 1024/2038                     (with out password protected)    openssl genrsa -des3 -out private.key 1024/2048    (password protected) 这个命令可以利用private.key文件生成公钥。 openssl rsa -in private.k
Aichen
2018/05/18
6.9K0
自建CA认证和证书
X.509:定义了证书的结构和认证协议的标准。包括版本号、序列号、签名算法、颁发者、有效期限、主体名称、主体公钥、CRL分发点、扩展信息、发行者签名等
咻一咻
2020/05/29
3.5K0
自签CA和SSL证书
字段 值 countryName 国家名缩写 stateOrProvinceName 州或省 localityName 地点,如城市 organizationName 组织名 commonName 商标(证书上显示的 CA 名称)
jwj
2022/05/18
1.9K0
linux下生成openssl证书
下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下) 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 [root@airwaySSL openssl]# cd ssl/ [root@airwaySSL ssl]# pwd /home/openssl/ssl [root@airwaySSL ssl]# ls certs  man  misc  openssl.cnf  private  server.csr  server.key 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施! 去除key文件口令的命令: openssl rsa -in server.key -out server.key 2.openssl req -new -key server.key -out server.csr -config openssl.cnf [root@airwaySSL bin]# openssl req -new -key server.key -out server.csr -config openssl.cnf Enter pass phrase for server.key:12345 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:china Locality Name (eg, city) []:wuhan Organization Name (eg, company) [Internet Widgits Pty Ltd]:airway Organizational Unit Name (eg, section) []:airway Common Name (eg, YOUR name) []:airway Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可. 3.对客户端也作同样的命令生成key及csr文件: openssl genrsa -des3 -out client.key 1024 Generating RSA private key, 1024 bit long modulus ...........++++++ ..++++++ e is 65537 (0x10001) Enter pass phrase for client.key:12345 Verifying - Enter pass phrase for client.key:12345 openssl req -new -key client.key -out client.csr -config openssl.cnf [root@airwaySSL bin]# openssl req -new -key client.key -out client.csr -config openssl.cnf Enter pass phrase for client.key:1234
DevinGeng
2019/04/09
3.4K0
[MCP学习笔记]MCP双向认证体系:mTLS 安全通信
在这个网络安全日益重要的时代,双向认证体系成为了保障通信安全的关键,是一个在安全通信领域有着广泛应用且极具研究价值的话题哦。
二一年冬末
2025/05/08
3700
[MCP学习笔记]MCP双向认证体系:mTLS 安全通信
openssl创建CA、申请证书及其给web服务颁发证书
一、创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf 2)创建所需的文件 touch /etc/pki/CA/index.txt echo 01
小小科
2018/05/04
2.3K0
openssl创建CA、申请证书及其给web服务颁发证书
YashanDB TLCP连接配置
YashanDB启用TLCP连接要求由Gmssl工具生成相关证书,在完成相关证书的正确配置后,通讯时进行客户端到服务端的安全验证。
用户10349277
2025/03/28
700
k8s实践(8)--ssl安全认证配置
在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP BASE或TOKEN的认证方式,其中CA证书方式的安全性最高。本节先介绍以CA证书的方式配置Kubernetes集群,要求Master上的kube-apiserver.kube-controller-manager. kube-scheduler进程及各Node上的kubelet, kube-proxy进程进行CA签名双向数字证书安全设置
黄规速
2022/04/14
3.3K0
Nginx配置自签证书强制跳转Https
Nginx 是世界上最受欢迎的 Web 服务器之一,负责托管互联网上一些最大和流量最高的站点。 这是一个轻量级的选择,可以用作 Web 服务器或反向代理。在公司内部,像Zabbix、ELK都可以通过Nginx实现Web端的管理。接下来,我将在 Ubuntu 20.04 服务器上安装 Nginx,创建自签名证书,设定访问https跳转,保障内网客户端浏览器与Web服务器之间的通讯安全。
冬夜读书示子聿
2022/01/09
1.1K0
linux openssl制作ssl证书_openssl生成自签名证书 c++代码
最近,被分配了一个任务,完成数字证书管理系统的开发,一开始我是一脸懵逼的,因为以前我对于什么数字证书都没了解过,可谓了一片空白,也不知其是用来干嘛的。于是,我奋发图强,用了一个下午加晚上的时间来脑补这部分概念知识,原来数字证书其实就是网站的身份认证。
全栈程序员站长
2022/11/04
4.2K0
linux openssl制作ssl证书_openssl生成自签名证书 c++代码
自签名SSL证书的创建与管理
创建自签名根根证书过程:生成CA私钥(.key)-->生成CA证书请求(.csr)-->自签名得到根证书(.crt)(CA给自已颁发的证书)
行者深蓝
2024/07/14
1K0
为GRPC证书加入双向证书认证如此简单
上一篇文章我们讲解了怎么给 GRPC 配置添加单向证书认证,这一篇我接着分享,如何让 GRPC 服务加入双向证书认证。
小锟哥哥
2022/05/10
1.9K0
为GRPC证书加入双向证书认证如此简单
相关推荐
openssl生成cer证书_tls证书生成
更多 >
LV.0
这个人很懒,什么都没有留下~
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档