展开

关键词

区块链证书的安全吊销机制

| 导语 证书吊销机制是通过向CA机构发起一个证书吊销动作,CA机构在一段时间后(根据CA机构配置不同,吊销时间会有差异),用户才能查询到最新的CRL,这时被吊销证书才失去有效性。 同时,用户也向CA机构发起证书吊销的动作,一段时间后该证书就会被更新到CRL中。 2.现有技术方案        目前的证书吊销机制是通过向CA机构发起一个证书吊销动作,CA机构在一段时间后(根据CA机构配置不同,吊销时间会有差异),用户才能查询到最新的CRL,这时被吊销证书才失去有效性 同时,也会向CA机构发起该证书吊销动作,CA机构在一定时延后更新CRL,通过CRL提供证书吊销的权威性。        整个过程由用户发起,智能合约保证链上证书吊销的实时性,具体时序图如下。 之后,用户向CA机构发起证书吊销CA机构在一定时间后更新CRL表,用户就可在CRL表中查询已吊销证书,从而保证了证书吊销的权威性。

60220

自制CA证书设置ssl证书

生成ca证书 2.1 生成 CA 私钥 # openssl genrsa -out ca.key 1024 2.2 生成请求文件 openssl req -new -key ca.key -out ca.csr 2.3 生成CA证书 openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt 3. 生成服务端证书CA签发 3.1 生成服务端私钥 openssl genrsa -out server.key 1024 3.2 生成服务端公钥 openssl rsa -in server.key - 生成客户端证书CA签发 4.1 生成客户端私钥 openssl genrsa -out client.key 1024 4.2 生成客户端公钥 openssl rsa -in client.key - 使用证书在nginx进行https的配置 将服务端或者客户端生成的私钥和CA签名证书拷贝到对应的服务部署机器上进行部署 例如: 配置nginx 我们拿到CA签发的这个证书后,需要将证书配置在nginx中

1.5K50
  • 广告
    关闭

    【玩转 Cloud Studio】有奖调研征文,千元豪礼等你拿!

    想听听你玩转的独门秘籍,更有机械键盘、鹅厂公仔、CODING 定制公仔等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    certutil 导入 CA 证书

    在linux下使用GoAgent客户端的时候,需要导入CA.cer证书。 安装证书管理工具 apt-get install libnss3-tools 导入证书 $ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n GoAgent -i ~/programs/goagent/local/CA.crt 如果输出: certutil: function failed: security library: bad database. nssdb.corrupted $ mkdir ~/.pki/nssdb $ chmod 700 ~/.pki/nssdb $ certutil -d sql:$HOME/.pki/nssdb -N 导入证书 : $ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n GoAgent -i ~/programs/goagent/local/CA.crt

    25720

    数字证书CA

    只要对方信任证书颁发者(称为证书颁发机构(CA)),密码学就可以允许Mary向他人出示她的证书以证明自己的身份。 证书颁发机构将证书分发给不同的参与者。这些证书CA进行数字签名,并将角色与角色的公钥(以及可选的完整属性列表)绑定在一起。 结果,如果一个人信任CA(并知道其公钥),则可以通过验证参与者的证书上的CA签名来信任特定的参与者与证书中包含的公钥绑定,并拥有包含的属性。。 证书可以广泛传播,因为它们既不包括参与者的密钥,也不包括CA的私钥。这样,它们可以用作信任的锚,用于验证来自不同参与者的消息。 CA也有一个证书,可以广泛使用。 这允许给定CA颁发的身份的使用者通过检查证书仅由相应私钥(CA)的持有者生成来验证他们。 在区块链环境中,每个希望与网络交互的参与者都需要一个身份。

    7560

    certutil 导入 CA 证书

    在linux下使用GoAgent客户端的时候,需要导入CA.cer证书。 安装证书管理工具 apt-get install libnss3-tools 导入证书 $ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n GoAgent -i ~/programs/goagent/local/CA.crt 如果输出: certutil: function failed: security library: bad : $ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n GoAgent -i ~/programs/goagent/local/CA.crt tips : 本文由wp2Blog导入,原文链接:http://devonios.com/certutil-%e5%af%bc%e5%85%a5-ca-%e8%af%81%e4%b9%a6.html 转载于:https

    15740

    CentOS安装CA证书

    注意 本教程目前测试了 CentOS 6/7可以正常使用,其他其他暂时未知 欢迎大家测试留言评论 过程 首先要安装ca-certificates yum install ca-certificates 然后开启动态配置 update-ca-trust enable 然后把你的.crt格式的证书丢到这个目录 /etc/pki/ca-trust/source/anchors/ 然后安装并且更新证书 update-ca-trust extract 大功告成 刚开始我只是要给自己的邮件服务器安装自签证书用,之前看到了csdn的一些教程写的含糊不清,所以用一个最简单的办法去安装CA证书

    13230

    CA证书(数字证书的原理)

    "申请了一张证书,注意,这个证书发布机构"SecureTrust CA"是一个大家公认并被一些权威机构接受的证书发布机构,我们的操作系统里面已经安装了"SecureTrust CA"的证书。" CA的私钥|RSA] //这个就是"SecureTrust CA"对这个证书的一个数字签名,表示这个证书确实是他发布的,有什么问题他会负责(收了我们1000块,出了问题肯定要负责任的) ×× CA"的证书,如果找不到,那说明证书的发布机构是个水货发布机构,证书可能有问题,程序会给出一个错误信息。 如果在系统中找到了"SecureTrust CA"的证书,那么应用程序就会从证书中取出"SecureTrust CA"的公钥,然后对我们"ABC Company"公司的证书里面的指纹和指纹算法用这个公钥进行解密 CA" 发布的,证书中的公钥肯定是"ABC Company"的。

    3.1K106

    数字证书系列-CA以及用CA 签发用户证书

    还好,我们可以自己创建CA证书,然后用CA证书来为自己CSR签发数字证书,只是这个证书不是“可信任”机构签发的,而是我们自己签发的; 废话不多说,我们还是用openssl来创建CA证书: 创建CA my_cert.csr myprivate.key #CA_Key.key 便是新生成的私钥;我们会用该私钥来创建CA证书CA证书虽然特殊,但是也是证书,和“证书请求文件(.CSR)”创建的命令几乎一样 ,唯一不同的是:CA证书是自签证书,为了表示这个证书是自签证书,需要指定证书的格式为 X.509, 只有CA证书采用这种格式: [root@localhost cert_test]# openssl req 证书guide中提供的信息,这些信息是我们 创建 CSR所必须的哦;至此我们的CA证书就创建完成了;那么让我们查看刚刚创建的CA证书把: [root@localhost cert_test]# openssl X.509 格式的证书,那么就是CA证书,否则就是证书请求文件(CSR).

    53610

    CA数字证书怎么用 CA数字证书收费标准

    CA数字证书也就是权威的CA机构颁发的SSL证书,可保护网站数据安全不被窃取、泄露,而且有利于SEO关键词优化,是网站安全解决方案之一。    一、CA数字证书怎么用   CA (Certificate Authority) :全称证书管理机构,即数字证书的申请、签发及管理机关。 数字证书:是由CA机构颁发的证明(也就是问题中提及的CA证书),它包含了公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。    因此,用户只需要向CA机构申请数字证书,就可以用于网站,可将http描述升级为https加密模式,保护网站安全。   二、CA数字证书多少钱?CA数字证书收费标准   CA数字证书多少钱? 三、如何选择合适的CA数字证书   选择CA数字证书并不是越贵越好,而且看自身需求,选择适合网站的SSL证书

    3.6K90

    自建CA认证和证书

    一些概念: PKI:Public Key Infrastructure 签证机构:CA(Certificate Authority) 注册机构:RA(Register Authority) 证书吊销列表 > 证书可以放在网站里,比如tomacat服务有专门存放证书的地方,还有可能需要转化格式,此处使用方法暂略 ### 4、吊销证书 - 在客户端获取要吊销证书的serial ```bash openssl 上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书: openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

    指定第一个吊销证书的编号 echo 01 > /etc/pki/CA/crlnumber 更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem <div class="se-preview-section-delimiter

    88020

    内网创建私有CA证书

    吊销证书 # (a) 客户端获取要吊销证书的serial # openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject # (b) CA # 先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致; # 吊销证书: # openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem # (c) 生成吊销证书的编号(第一次吊销一个证书) # echo 01 > /etc/pki /CA/crlnumber # (d) 更新证书吊销列表 # openssl ca -gencrl -out thisca.crl # 查看crl文件: # openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text 证书的签发与吊销测试 #生成CA [root@master CA]# touch index.txt

    78220

    网站出现证书吊销的情况(20.3.11随记)

    今天在访问自己的网站和图床云盘的时候,出现证书吊销的情况,一脸懵逼。 ? 自己用的Let's Encrypt,全球免费SSL证书使用量第一应该不能被吊销啊??? 上网找了百度,查了一下,发现原来是签发的SSL证书有BUG,emmm。。 由于Bug,Lets Encrypt决定吊销300多万张证书! ? 于是又去宝塔重新续签了SSL证书,将其部署到各个域名上,解决。。。还好自己是小博客,哈哈哈,也不会有什么经济损失,还好还好。 虚惊一场。 ? 版权所有:可定博客 © WNAG.COM.CN 本文标题:《网站出现证书吊销的情况(20.3.11/随记)》 本文链接:https://wnag.com.cn/963.html 特别声明:除特别标注

    24020

    自签CA和SSL证书

    CA 名称) xxx_default 设置该字段默认值,这样等一下生成证书时就不用手动填写信息,直接回车使用默认值就行了。 .+++ e is 65537 (0x10001) 自签发 CA证书: openssl req -new -x509 -key ./private/cakey.pem -out . /CA.cer 用 CA 证书签发 SSL 证书 创建文件夹方便管理: mkdir ../i0w.cn && cd .. ─ CA.cer # CA 证书(DER 格式) │   ├── cacert.pem # CA 证书(PEM 格式) │   ├── index.txt │   └── 2heng.xin.key # 用户证书私钥 ├── root.conf # CA 配置文件 └── server.conf

    11120

    curl访问https与CA证书问题

    CA证书,用来在调用HTTPS资源的时候,验证对方网站是否是CA颁布的证书,而不是自己随便生成的 curl命令 1.需要下载CA证书 文件地址是 http://curl.haxx.se/ca/cacert.pem 2.把下载的文件放到这个位置 /etc/pki/tls/certs/ca-bundle.crt 3.curl就可以访问https的资源了 php代码 function post($url, $data ($refer) { $options[CURLOPT_REFERER] = $refer; } if ($ssl) { //注意看这里就是配置CA 证书 //只信任CA颁布的证书 $options[CURLOPT_SSL_VERIFYPEER]=true; //本地CA证书,用来验证网站的证书是否是 CA颁布的 $options[CURLOPT_CAINFO]=getcwd() .

    2K50

    OpenSSL - 利用OpenSSL自签证书CA颁发证书

    -out cacert.pem -days 1095 (-config openssl.cnf) CA签发证书CA是专门签发证书的权威机构,处于证书的最顶端。 自签是用自己的私钥给证书签名,CA签发则是用CA的私钥给自己的证书签名来保证证书的可靠性, 利用OpenSSL可以自己作为CA进行证书签发,当然这并不权威。 CA签发证书生成的cacert.pem 见“建立CA颁发证书” 有了private.key和cacert.pem文件后就可以在自己的程序中使用了,比如做一个加密通讯的服务器 从证书中提取公钥 openssl /CA (2) 创建配置文件 之前生成秘钥和证书可以进行命令行配置,但是在创建CA的时候必须使用配置文件,因为做证书颁发的时候只能使用配置文件。 ) (4) 颁发证书 颁发证书就是用CA的秘钥给其他人签名证书,输入需要证书请求,CA的私钥及CA证书,输出的是签名好的还给用户的证书 这里用户的证书请求信息填写的国家省份等需要与CA配置一致,否则颁发的证书将会无效

    3.2K170

    使用OpenSSL创建CA和申请证书

    CA(两台不同的主机可以使用scp命令传输) 3.3CA签署证书,并将证书颁发给请求者 [root@CentOS7 CA]# openssl ca -in /data/test.csr -out certs 01=Valid (V) 4.吊销证书 4.1在客户端获取要吊销证书的serial [root@CentOS7 CA]# openssl x509 -in certs/test.crt -noout 01 unknown /C=CN/ST=beijing/O=abc/OU=IT/CN=hechunping/emailAddress=root@abc.com 4.2.1吊销证书 [root Data Base Updated 4.2指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前才需要执行。 [root@CentOS7 CA]# echo 01 > crlnumber 4.3更新证书吊销列表 [root@CentOS7 CA]# openssl ca -gencrl -out crl.pem

    10330

    openssl创建CA、申请证书及其给web服务颁发证书

    二、颁发及其吊销证书 1)颁发证书,在需要使用证书的主机生成证书请求,给web服务器生成私钥(本实验在另一台主机上) (umask 066;openssl genrsa -out /etc/httpd /ssl/httpd.csr 3)将证书文件传给CACA签署证书并将证书颁发给请求者,注意:默认国家、省和公司必须和CA一致 openssl ca -in /tmp/httpd.csr -out / |serial|dates 5)吊销证书,在客户端获取要吊销证书的serial openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject 6)在CA上,根据客户提交的serial与subject信息,对比检验 是否与index.txt文件中的信息一致吊销证书 openssl ca -revoke /etc/pki/CA/newcerts / SERIAL.pem 7)生成吊销证书的编号(第一次吊销一个证书时才需要执行) echo 01 > /etc/pki/CA/crlnumber 8)更新证书吊销列表,查看crl文件 openssl

    89850

    部署SSL证书中的风险你知道吗?

    国内CA机构颁发SSL证书的风险:   目前,国内很多CA机构都在颁发SSL证书,但存在着一些问题,主要体现在以下几个方面。    其次,SSL证书中没有浏览器能自动识别和通过http访问的吊销列表,这意味着:如果证书颁发机构发现某个SSL证书有问题,或是欺诈网站,则可以吊销证书,但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销 比如,CNNIC颁发给客户的SSL证书吊销列表一个是不可访问的,另一个是LDAP方式的吊销列表,是浏览器无法直接访问的,因此无法确认该SSL证书是否有效。   第三,数字证书类型会有错误。 一是,所有https://访问都是实时向证书颁发机构查询吊销列表的,一旦证书吊销,SSL证书就不能正常工作了,也就是说不能起到加密的作用了。 证书颁发机构(CA机构)根据用户的申请或其他原因可以随时吊销SSL证书。试想一下:如果由于某些原因,所有中国的网上银行的SSL证书被国外CA机构吊销,则中国的网银用户都无法使用网银了!

    84571

    你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!

    用户将需要吊销证书通知到CA服务商,CA服务商通知浏览器该证书的撤销状态。来看一个证书吊销后的浏览器提醒: ? 各家签名CA厂商的策略不一样,有的是几小时,有的是几天,甚至几周。2015年,美国几所大学的学生论文中,统计了当时的CA证书吊销情况,如下图: ? 这个统计可以看出,CA证书厂商的CRL数量不一,大部分是30-50个,而GoDaddy有300多个CRL的地址,同时有近30W个证书吊销状态的,文件大小平均达到了1M。 OCSP的优点 相对于CRL方式,证书吊销后,CA Server可以立刻将吊销信息发送给浏览器,生效时间快。响应包内容短,不像CRL的响应包,都将近1M以上。 通过本文前面章节的了解到,这种情况,也只能主动到CA厂商那申请证书吊销了,不管有几个浏览器支持,也得申请,毕竟,这损失能减少一点是一点。 证书泄露了怎么办? 证书泄露了怎么办?

    1K20

    Linux基于OpenSSL实现私有CA构建

    OpenSSL还可在局域网内构建私有CA,实现局域网内的 证书认证和授权,保证数据传输的安全性。如何构建私有CA呢?本文将详细讲述基于OpenSSL实现私有CA构建。 CA签署证书 ? 将签署的证书发送给请求者 ? 这样客户端就可以配置使用CA签署的证书,进行加密通信了。如果客户端的私钥不慎丢失,或者证书过期了该怎么办呢?接下来我们看一下证书怎么吊销吧。 证书吊销 客户端获取证书serial ? CA验证信息 根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致 ? CA吊销证书 ? CA生成吊销证书编号(第一次吊销) ? CA更新证书吊销列表 ? #如果有需要,可查看crl文件的内容#openssl crl -in /path/to/crlfile.crl -noout -text 好了,证书成功吊销,可以重新申请了。

    84070

    相关产品

    • 代码审计

      代码审计

      代码审计(CA)提供通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券