00:00
那接下来这块内容呢,比较重要啊,是我们呃,后续在涉及到很多加密场合经常用到的技术,那刚才我们给大家讲了open s命令的常见用法啊,实际上open s sal还有一个非常好的功能,就是用它可以搭建CA以及证书申请的整个架构。将来我们在后续的很多服务中都会用到证书。当然,要用证书就得有C。啊。大家记得我们上次讲了这个C的架构证书,它是如何来进行工作的,我们讲了原理了,呃,那你们还记得证书的作用是什么吗?证书的作用是什么啊?证书的作用就是证明啊这个公钥的真伪,哎,消耗答对了是吧?
01:17
证实公钥的真实性,通过颁发证书,而证书是由一个权咨询机构来颁发的。通过C的数字签名,确保你拿到的公钥。是一个真实的。因为是由权威的C机构颁发的,你因为你要信任这个权威的C,所以他颁发的证书自然就要信任。自然,里面带有的公钥就是真实的。那么整个流程从搭建C向C申请证书这个过程。
02:03
我们通过open s都是可以做到的,那未来我们搭建一些服务,比方说我们讲HTTPS服务就要用到证书,所以这个OPS的命令的关于C的这个用法,大家要必须找。呃,当然我们在之前也给他说过,真正的申请证书在互联网上我们更多的会花钱买,上次我们看到了这个证书还挺贵的啊。呃,实际上你要是有钱的话,那啥都不是事了,对吧,还学什么技术。家里拆迁有房学什么技术对吧?那我们在之所以现在用的是开源软件,那不就是为了为企业节约成本吗?啊,那你要是有钱,那要什么开源软件,商业软件挺好啊,又有公司给你提供技术支持,不会了,打个电话上门给你提供服务了,对呀,啥事就就就说实在的,以前我在公司里面有些设备出了问题,就打电话嘛,啊,比方说华为设备出了事,那打个电话,华为给你提供技术支持了,你看你要什么技术啊,不用懂啊,你就会打电话就可以。
03:19
啊,但是我们目前学到的技术都是开源的,那开源软件没人给你提供服务,你自己搞啊,这也就证明这是体现你价值的时候,凭什么给你发那钱工资啊,对不对啊,那是因为这个技术含量是有的。那么利用。Open SL,这些工具可以搭建属于自己公司内部私有的C。虽然互联网上有一些比较权威的CA,但是这个收费的,如果说我们企业内部有大量的服务器需要用到证书,如果我们也是通过像互联网的那些权威的哎CA申请证书,那一个证书那有上千的,甚至有上万的,那企业里面那么多的服务器都需要证书,这个成本太高了。
04:09
再加上我们是企业内部用,何苦非得非得跑到互联网上来申请呢?那么自己那么搭一个自己的C,自己给自己颁发证书不就得了吗?这不就省钱了吗?那这就是我们接下来要给大家讲的,就是如何在企业内部搭建一个私有C,私有C那自然就是我给企业内部自己来颁发证书。啊,他不太适合公开的网络,你公开网络你你颁发证书,凭什么信你呀,你说你还开个银行呢,别人就把钱存你们家去啊,不可能,对不对,别人不相信你啊是不是,你说我是银行是吧,不行,不相信的,那所以搭C呢,你肯定是在企业内部搭你搭你说我是C,那企业内部当然咱们可以互相用了,是吧。你要放在公网上,那没人用你,你也不够权威啊,当然权威得要掏钱的,你要用,那接下来咱们就来看一看在企业内部如何实现证书颁发这一套体系,事实上咱们实现证书申请啊,Open s只是其中的一种工具而已,那提供这种证书申请啊,搭建4C在呃,在咱们的实现方案中,还有别的工具,比方说有open CA呀,啊还有一些其他的工具,你像我们后面学习什么,呃,这个这个K8S呀等等,它这里面它也有一些自己的那个申请证书的一些这个工具,这些工具实际上。
05:37
都能够实现证书申请啊,但是我们今天不讲别的啊,我们讲open s SL,但是我们用这个命令来实现证书啊,实现C。实际上还有别的工具啊,嗯,大家别学了以后,哎就知道这一个实际上还有别的软件嘛,对吧,丰富多丰富多样啊,你可以选可选啊,那下面呢,我们来说一说OPPO scel,它这个证书申请是怎么实现的啊,大体上呢,它的步骤是这样的一个过程,首先。
06:10
你得向CA申请证书,提交一个申请,当然了,这里面实际上潜在的还有一个前提,就是你先得有个C,对吧,你先得搭个C,搭个C以后别人才能向你提供申请。提出申请,所以我们前面有一个搭建C的过程。搭建飞机以后,用户这边需要证书了,给你打报告申请证书。申请证书完了以后。由RA来接受你的证书。啊RA呢,就是那个证书的所谓的接收注册的那个请求的机构啊,他实际上是个代理嘛,他本身没有权利给你颁发证书,但是他可以接收证书申请。那么经过核验以后没有问题,交给CC给你签署颁发证书,签署颁发证书,但是颁发完证书了,你这个用户你就拿到这个证书,你可以在你的应用中用了啊怎么用我们后面讲啊,这个应用我们后面会很多地方都会用到证书。
07:15
啊,涉及到加密,好多地方都要用证书,那今天我们不讲怎么用证书,我们只讲怎么去申请证书啊。那在这个证书申请的时候呢,我们需要用到一个关键的啊配置文件。这个配置文件属于open SL的lab包啊,Labs这个包里面带的这个,那这个文件里面呢,它记录了要搭建4C的默认的一些设置。那我们来把这个文件打开看一看这个文件,这个文件很重要,这个文件定义了我们创建C的时候呢,它的一些。设置。
08:04
好,这个文件我们一般不用改它,但是内容我们要大体了解。我们可以看到它这个属于open s SL的一个配置文件。这个文件里面呢,关键的内容我们只关心这块,就是和证书相关啊,和证书无关呢,咱们暂时不看它啊,哪块呢,在这大家看,从这个地方开始,这有个CA。然后它允许在一个机器上建立多个C是允许的,不过我们一般就建一个。那么建多个的话呢,谁是默认的,这写了CA default是默认的。那CA def beforet是谁呀?那么这写了吗?这不就CA def beforet吗?啊,也就是说我们实际上是可以建立别的CA的,比方说如果我有别的CA,我可以再建一个啊,你像我这我还可以再建一个叫C假设啊,假设叫test,那这里边我就可以写这个test CA的一些信息啊,不过谁是默认的,人家是默认的,也就是你不写,用的是这个理解了吧,啊,这个意思啊,一般我们都用默认的,接下来下面这个路径呢,这个信息就比较重要了,这都是和C有关的一些设置。
09:22
其中,要创建C,将来用户还要向C申请证书,就要依赖于一些生成的相关文件,比方说C自己得有证书。别人要向C申请证书,C得证明自己是权威的。那咋证明啊?哎,比方说你去公安局申请身份,身份证,那这个公安局是不是应该有个权威的证明,他是公安局啊,那咋证明啊,那上面是一进那个大门,是不是上面这个公安局派出所人写的字的,那是,那不是一般人能贴出来的吧,那不是说你贴个小条就说你是公安局,那那是有权威性的啊,说白了就是国家授权,那是啊,国家权威性在那儿的。
10:09
所以他需要有一些相关的,那具体在linus里面就表现为一些文件嘛,啊,那么作为CA来讲呢,你要字,你有需要有自己的证书,当然你的证书从哪来,可以由上级C给你颁发啊,比方说公安局,公安局那谁来证明他的权威性,而上级公安部啊,对吧?当然了,那公安部的权威性谁来证明?那公安部说了我是最高了,没人证明,那我自己给自己盖个章吧,我这就是权威的,这就叫自签名。对吧,那自己给自己证明,那最顶上那个就只能自己给自己证明啊,那这个上次我们看到过证书的那个格式,看到过那个跟随,是不是就自己给自己证明啊。那当于我们这个网络中,现在我现在搭的CA是不是就没有别的CA,就是我,我是第一个,相当于我是第一个,那当然那我的证书怎么来,那是不是就只能自己给自己盖章,也就自签名。
11:05
那这里面都会涉及到一些相关的文件,比方说C自己的。自签名证书,自签名证书在哪呢?这个这就是那个C的自签名证书。所在的路径,不过呢,这个地方,这个这是个文件,这个文件放哪啊,放在这啊,这是哪啊这。这是个变量是这啊。那将来这个目录下和。会存放若干和C相关的一些文件,但是这个目录有没有,我们先确认一下,看有没有。诶,发现了3S8上这文件都不存在啊,哎,这个需要手工创建了,三七上有三七上这个挺好,人家把目录都给你建好了啊,所以呢,可以参考啊啊,那3S72这个目录是比较全的。
12:04
所以三八上没有,但是它下面确实要调用了,你看调用了四文件夹,四文件夹专门放被颁发的证书的。将来你给给张三颁发,给李四颁发,有不少证书,这都会有,都放在这个色目录下,那这个目录呢,就是这个目录下的色,然后还有就是证书调查列表。啊,也放在这个目录下。啊啊,包括C自己的证书也是放在这个目录下,C的这个这个私钥,C也有一个私钥,私钥文件在哪呢?在这对这个私钥文件,它是放在这个private这个目录下。那我所以我们这里面发现戴尔下它要求有好多不同子目录的,这些子目录现在咱们都没有啊,所以就建起来吧,那建起来的话,那我也省懒得建了,那我们就直接。啊,这这不是目录,这不是有吗?那就这些了,那把它拿过来啊,或者拷过去也行。ICP拷贝也行,反正他是空的,这是目录是空的啊,这目录是空的没东西。
13:11
啊,记到这个目录里把,这个目录还不存在呢,那就先建起来。啊,然后呢,把这些文件夹能不能一块都建起来,这不就完了吗?是吧,这不就目录就有了,先把框架先搭出来啊,那稍后里面的文件咱们慢慢填慢慢填,那当然了,如果说你不想放这,你把配置文件改了也可以是吧,我就不改配置文件啊,就参考这个文件格式来存。呃,这里面呢,在将来创建给用户颁发证书呢,他会把颁发的证书信息。啊,比方说给几个人颁发证书了,这些证书应该有编号啊等等一些信息,他的状态啊等等,需要存到一个这个索引数据库里啊,当然说是数据库,实际上是个文本文件,谁呢?就是这个文件,就这个叫index文件这个。
14:15
这个文件就专门来放,你给张三颁发的证书啊,李四颁发证书,他们证书有现在还有效没效了是吧,序号是多少编号,哎,你得写哎,他存到这个文件里,那这个文件呢,就在这个de的下面,叫index test,但是我们这是不是没有这个文件,没有的文件必须要建起来啊。呃,将来要不建的话,到时候报错,他就说缺这个文件,我现在就故意不见,故意不建,到时候我们建的时候出错你就知道了啊,故意留着它啊,这是个错误,还有一个呢,这个这是什么意思啊。看见了吗?这是当前number啊。啥意思啊,就是每个证书有编号啊,就跟我们身份证或不有身份证号嘛,他有个编号,这个证书有编号,证书的编号,呃,每次颁发用户的证书,它就会生成一个新的编号,这个新的编号。
15:10
呃,你需要指定他从什么地方开始这个,注意他写的叫current,实际上不叫current,是下一个你要颁发的证书的编号。啊,你这把这个文件建起来,里面写个数字,这个数字将作为下一个被颁发证书的编号,听懂了吧?但是以后。你在颁发证书就不用管那个文件了,以后每次颁发证书这个文件会自动的加一加一加一,就第一次的时候,你要指定个初始值,听了吧,就从哪开始。啊,当然这个地方它是个16进制数字,16进制数字啊,这是这些相关文件的介绍,这还有什么证书吊销列表文件啊,这是C的私要文件,那其他的假如这个目录呢,是放那些被颁发的证书。
16:07
这个目录是你只要一颁发证书,它就会自动的把你的证书。生成的证书文件放在这个目录下。你不用指。那这个文件夹和它实际上是很像,这个文件夹是放什么呢?放证书的。那这两个实际上你会发现这个是你需要人为指定证书放在这,如果你不指定它不放在这,而这个呢,你不用指,它也会自动存着,那换句话说,将来你创建的用户的颁发证书呢,会存在这有一份,这也会有一份,它会存两份。就是一模一样的东西,只不过文件名不一样,那么放在这个new下呢,它是用这个证书的刚才说的那个serve编号来做文件名。哎,放在这个new下,至于你将来生成的证书叫啥,这个你自己在执行命令的时候,可以指定证书文件名,那这个证书文件名存的路径就在这。
17:07
啊,不过呢,也就意味着你将来生成的证书有两个备份,相当于两两两个地方都有啊,其中new是自动就有的。好,这就是咱们证书的配置文件信息,那这些信息呢,因为是我们后面就要用的啊,所以我干脆就把它复制出来,因为这些路径你要参考这个路径来创建这些证书信息,所以呢,我们把这个路径先贴出来,待会我们就复制粘贴就好了啊,别写错了,你看这个文件名都是有要求的啊是吧,人家写啥你就写啥呗。好,那接下来继续。我们在向C申请证书的时候呢,要与要让你填一些东西的啊,填哪些东西呢?比方说你你既然要向人家申请证书,你得填你你是哪国家的啊,你是哪个省的,哪个这个这个城市的啊,你是哪公司的是吧,你哪部门的。
18:04
对吧,哎,你是给谁用的,这都要填的。填证书啊,将来你填这些东西,人家给你颁发证书的时候才知道这个证书是给张张张三李四谁用的啊,这个东西要填。那天这些东西呢,不能胡填。作为C来讲,我们说了现在我们网络中现在当前是没有C的。只有我想给颁发证书,那我得有C,那C谁就是我自己呗。那我将来我就要建一个自签名的证书,那么你自签名的证书也要填这些东西,而你这个C,你既然当C,你得说清楚你是哪个国家的吧,你是哪个省的,你是哪个部门的,哪个哪个公司的谁呀,对不对?啊,那刚才我们说了,我们现在搭的C叫私有C是不是啥叫私有C啊,就是自己公司内部用的,那不是给别人用的,那既然是私有C,那你想搭C的时候签署自签名,当C的时候你要填国家省份,省省省。
19:06
你用户向你提提交申请也要填这些东西,既然是COC,你说国家应该不一样一样啊,对不对,那你说这个省份应该不一样一样啊。你公司应该不应该一样啊,对不对,哎,所以那么既然是私有C,所以我们这有匹配策略,这个匹配策略就是国家省啊,这个什么所谓的这个公司名啊,这些是不是相匹配啊,他默认用的匹配策略是policy match,这就有一个policy match的匹配规要求,而下面也有一个另外一个policy的这个匹配策略是anything,那这些什么意思呢?大家看这写的是country match。啥吧,就是国家必须一样,就是你创建C的时候,你是在中国,那么用户提交申请的时候,你这个提填写的国家你必须在中国,你不在中国,然后那叫私有私吗?那那成了公有私了,你给别的国家人去颁发证书去了,对吧,那不叫私有啊,这四有C,那他写的这个match,不过呢,如果你将来真的有一天,诶我就想搭个C,我就不是说给我自己用,比方说我是给我合作伙伴用。
20:21
对吧,我们公司之间不是有合作关系吗?那这也可能啊,那如果是真的这种场合下,那我们俩真的不在意国家,那咋办啊,那你就别用这个策略了,咱们用anything策略,Anything策略你看国家是optional。就是可选呗,那咱俩在国家也行,不在国家也行啊也行。啊,这是两种不同策略啊,但是不过系统默认用的一种策略啊,那是policyman,那也就是这个,那我们看到了有三个是必须一样的,哪三个呀,那国家state state什么意思啊,这个美国叫州,中国不叫省吗?对吧?啊,当然咱们也有自治州是吧,自治州啊,还有就是啊,咱们不叫自治区是吧,不叫州,那个比那个区还要小是吧,州州的那个什么新疆啊,什么那个自治区里面它有州,自内蒙古也有州,还有它叫蒙是吧,还有叫蒙啊。
21:17
还有什么旗是吧?我也不知道叫啥,咱们班有少数民族吗?谁是啊,真有啊,王届班是有少数民族,那上次跟大家说了没有一个就是那个新疆的什么,反正名字太长,我也记不住,一个小帅伙啊,这小伙啊,那这个这三个必须一样啊,这个是那个公司名组织名啊,必须一样,到时候你填的时候你不能不一样了,不一样他到时候颁发之后会失败,还是你这个不匹配策略,不让你颁发啊,当然还有别的东西就可以不一样了,这个什么东西呢?这是就是那个,呃,部门,这叫部门啊,就是你那部门的,而这个无所谓了,而这个呢,是,而这个叫command name command内这个是必须提供的啊,提供的,这提供啥,就是给谁颁发证书嘛,给谁颁发证书,你方说给咱们某一个服务器颁发证书,这个服务器是个外部。
22:28
网站它有个FQD域名啊,你就要写他那个网站的域名啊,域名你要说给百度颁发就3W100度上。com给3W马哥一丢点。COM8发,那就写上3W马格一丢点。com明白了吗?就这个名字,邮箱邮箱可选,写不写都行啊,邮箱是可选的。啊,系统默认用的是这个策略啊,那我们这个策略也记下来,待会别忘了就照这个策略填东西啊好了,那现在明白了这个规则了,那这个文件咱们就不改它啊,咱们只是看一看也不改,当然改也不是不可以啊,那改了你就到时候参考这个改的内容来进行创建了。好,那接下来我们来说一说这个创建C要搭建C申请证书这一套流程,第一步先建C,建C怎么建?
23:19
建C需要有自签名证书,而自签名证书又依赖于私钥,所以第一步创建给C用的私钥。怎么创建呀。刚讲过了,刚讲有个命令不是可以创建C吗?记得吗?哎,那个命令叫什么来着,叫open SL g GC,这是不是后面跟上就行了啊,当然为了安全可以考虑加个什么600啊,什么066啊,666啊,777啊,反正加上就行,不过八上都不用加,因为八二它默认安全是吧?不过加上嘛,你说不定这命令万一跑到六和七上执行呢,是不是啊,加上注意生成的文件名是有要求的哦,刚才说了私要文件必须叫什么名字啊,这写着呢,人家必须是在刚才说的那个ETCPK那个C令目录下,必须叫private下的Ck.PM啊,这个文件名是已经写好了,写好就照抄就行了。
24:20
啊,所以我们现在来看啊,我已经进到这个目录下了啊,进到这个目录里了,进到这个目录里了,那我们就抄,那这个我已经在这个里面光写相同规定private就可以了,然后这个生成的文件叫CAk.PM要遵守我们的配置文件的写法,呃,多少位,那如果是CA的话,可以长一点,比方说2048,呃有点短的话,你可以4096之类的啊行了,我就演示啊,所以无所谓了,那这个地方呢,0066,那当然我这个写写077,这有区别吗?有没有区别啊?有区别吗?还记得用must是啥意思吗?有区别没有,那打个字,我看看有多少人认为有区别,有人没区别的,我看看同学们还能想起来吗?
25:18
啊。有区别的。没区别的就打零啊,有区别就打一啊。有区别的就打一,没区别的就打零。啊,看来有的同学还是认为是有区别,也有不少同学没区别,具体在咱们这里面没区别,因为我是针对文件,文件的话,777,你这个0077不就是拿他们,咱们对文件是拿666去剪的,对不对?减077减完了以后看有没有奇数,如果有奇数就要加一嘛,对不对,那你七七减不也一样吗?那这个减出来的是什么?是六负一,负一是不是那一加的负一是基数要加一,加一的话就变成了零零,那么你拿777去减这个这个,呃,这个666啊,666去减066,它不一样吗?这不还是这个600吗?没区别,就在我们这个地方没区别,但是你要建文件夹就有区别,我们是建文件嘛,就没区别啊,所以这个地方你写066077都一样。
26:33
啊是吧,魏瑞同学你答错了,宽宽同学你都听第二遍了啊,答错了啊啊,那走一遍啊走一遍哎,这就生成了,生成完了以后,你看看当前也去,那在这是不是生成这个文件了,当然当然这个文件你也可以验证一下它那个权限啊是不是对。
27:00
你看600是吧,六零那这就生成了,那当然这个文件我们有没有加密啊,没有加密,没有加密那就是,所以这个文件为了安全还是要加一个稍微严格一点的口令。这是私钥,这是第一步,那么有了私钥的以后,我们利用私钥来实现自签名证书,因为我现在要搭C,但是网络中还没有别的C,我自己搭,自己搭的话,我们搭个C的话,我们自己做整个系统中的第一个C,那整个系统中DC不就跟C吗?那跟C没人给你颁发,那就自己给自己颁,那叫自签名证书,那自签名证书怎么签名啊,这个长啊,这命令比较长,呃,生成的证书文件刚才说了是有要求的,证书文件在哪呢?C的证书文件在这呢?C的证书文件要放在这个ETC pkc下,也就是放在这个C的目录下,直接是c.PM那就放在这,所以这个路径呢,必须写在这啊,那我已经在这个路径下呢,那就不用写路径了,就在这就创建就行了,那生成的方法呢,是这样的,Open SL re EQ re EQ就是申请的意思,New是申新申请,那X509什么意思,就表示自签名啊,这个就表示自签名,因为X509表示证书格式,你现在是申请证书,怎么又该X5091组合就是自签名的证书了啊,那么要申请生成证书,那你得提交人家的私钥,所以把私钥路径得写上,然后呢,这个证书多久有效期,如果你不写,默认有效期有一个值啊,我们这看一下刚才的配置文件,忘了忘了,那个看这个证书配置文件了,那证书配置文件里面他有个有效期,这个这是他默认有效期365天啊。
28:53
当然你想你是CA,你说CA的证书有效期整个一年是不是就点短啊,啊要为你要是一年,那么你报完的证书,这不是一年也经失效了,所以咱们长一点呗,尤其我们后面学习那个什么,呃,有些服务你像K8S它默认也是那个比较短,就一年一年以后,如果说你忘了这个事儿了,那就惨了,知道吧,一到那个时候啊,那证书全失效了,你服务就起不来了,出事了啊,所以呢,你自己,反正你自己办完证,你把这个证书调长一点,你调个几十年啊,调到退休啊,但是你计划啊,比方说你在计划在这干个三年啊,你可以调个三年,那你一离职马上出事是吧?哎,别人来了都不知道咋回事,把你赶紧请回去帮忙,哎,有这个事啊,那咱们那个张世杰老师啊,就咱们那个啊,张世杰老师,原来他这个公司现在就是。
29:53
净干了好多事,招人招不来,他离开以后没人顶他的活,现在恨不得就赶紧让他回去干活啊,叫他估计工资得翻倍吧,得对吧啊,别人顶不了他呀啊,到我们这儿上课来了,上了一段时间,那公司找人找了几个人都顶不了,他的工作干不好啊。
30:15
所以这个呃,技术还学好了,技术学好了以后走哪能都能吃得开啊,说不定你离开以后,原来公司还想念你呢,是吧,真的这样,你看这样咱们靠本人吃饭是吧,咱们也不靠别的,这个这个挣这个钱比较踏实是吧,也不存在违法的这个风险,好那那这是我们刚才给大家说的啊,这个这个呃证书,当然这个证书呢,我们说了,那时间长一点吧,那怎么加这个时间呢,这有一个时间,这可以定义时间啊,我这写了个十年365天嘛,十年嘛啊啊之后做实验啊,然后呢,生成的证书文件放哪啊,就写到这个证书文件路径啊,这个证书文件路径刚才说了那个配置文件里写死了,你就必须要写这啊,必须写这啊,这样的话呢,这个命令一执行,那好了,证书文件就实现了自签名了,当然这个说是自签名,那你填的时候呢,你填东西啊,待会你要填东西填什么,你这个证书国家在哪,省份在哪等。
31:16
等等,你要添的啊,你看着现在我们要添了,走我一回车,你看着要添东西了,看哎,两位字符的国家啊,两个字符的,这两个字符国家,你看中国是哪啊,大家应该知道的,CNCN,那那我要在比方说在美国填的什么呀,Us是吧,日本呢,GGP是吧?啊啊那那你们都熟啊,啊那这个呢,有国家编号啊,如果你不记得了,你在这个地方,万一哪天你去什么这个什么马来西亚东南亚工作去了,那咱们有同学确实去那东南亚那边工作去了啊那边那个好多it公司挣钱还挺高的,工资好像有的,你像我记得咱们十十二二十二四期,二四期有同学去年的时候我听说了工资已经50万了,50万就在东南亚那边上班了啊,那边不过技术要求没多高啊,那边就是那边可能那个法律不一样,他们。
32:16
那边赌博嘛啊,就是就是网上赌博啊,咱们有时候经常看到小广告,什么网上赌博,那个就他们那搞那个他们那后台运维就是他们搞的,工资挺高的,不过就是挣了钱没地儿花,而且那地方当地治安好像不太好,挺挺危险的,所以别开见钱眼开啊,你们下来别问我说怎么去,我我也不知道,我我怕害了你啊,我怕害了你好的挣了钱了,那万一去了那个那那你把你把你把你把你那个拘禁在那,你又得干活,又不给你钱咋办,对吧,这不麻烦了,反正出了国这个东西就不好说了,不过确实咱们往届班有不少真的在那边上班,反正外地国外工资东南亚还是工资还可以,那这个是国家编码啊,这样这有那。
33:16
有两位的,有四位有三位的啊这这都可以,这可以选啊,这是刚才说的啊,那我们就填中国吧,中国是CN的大写字母是吧C,那这个是省省的话呢,呃,省省咱们现在在河南的啊,那河南吧,河南啊河南河南当然这个是城市了吧,那城市城市郑州郑州是吧,郑州这是公司了吧,呃,公司马哥,呃组织就是部门了,部门啥部门啊啊这个这个比方说咱们是属于it部门了,It部门那接着就是给哪个服务用,就哪个主机用啊给哪个服务器,你看没有,他是服务器,那比方说我们将来搭个网站是这个3W买六点。
34:16
这个网站,我这证书是给这个网站用的啊,这样就行了,呃,邮箱写不写都行,写也行,不写也行,那写上吧,是吧,写个邮箱好,那这个证书就自签名就签完了,那签完以后啥样呢?看看这个文件已经生成了啊,这个文件在这,这是那个私要文件,这是那个证书文件,这自签名的啊,自签名的这个证书文件,大家可以看到他自签名的证书文件的权限是60644,好像没有设置很严格,为什么不严格呀,因为证书是公开的,证书里面包含公钥,那到处都要发的,没有必要设那么严格的权限。
35:03
对不对啊,当然这个证书文件我要看它内容怎么看呢?你直接看能不能看呢?我们不直接打开能不能看呀,他用被子六的维码转换过来,你看不了啊,那看不了也能看啊,怎么看呢?用这个命令看啊,用X509IN后面跟上这个文件啊,叫c set,然后no out不输出到新文件中,以文本方式显示大家看,这就能看到了。啊,那这里面这写的就是它的公钥算法,这应该就是它那个公钥信息了,然后这就是我们刚才签名生成的信息,大家看这个叫issue。Eer,这就是发布者,那么subject呢,就是给谁发布,大家看这两个是不是一模一样的,那这不就是自签名吗?那发布是者和给谁发布都是一个人,那不就自签名,那自己给自己发布对吧?自己给自己颁发证书,那两边一模一样的,那有效期看看是不是十年。
36:09
对不对,这不十年吗?啊,十年2020年2030年啊,哎呀,十年以后啊,十年以后我估计退休了吧,那十年以后你们正是扛把子的时候是吧,你们这十年出去肯定当时就是公司里面老大了啊,应该至少达到我这个水平了吧,啊,至少CPU水平了吧,当然也可能有些同学就不干这行了啊,也许回去就卖水果去了,你们看过那个,有一个网上的照片,我看以前有一个小伙搞搞it的,这个工作很很辛苦,头发都快掉光了,后来觉得这个太辛苦,不干了,回去就开始当水果店的老板了,然后后来干了一段时间,拍张照片,小伙特别帅,头发也长出来了,估计是天天吃水果吃的也。
37:09
啊,实际上实际上实体店不没那么容易干啊,要真的容易干,大家都干上,实体店有的也是赔钱的啊,那现在我们把这个文件,当然这个文件用这个命令看的话,总是看起来不是很直观啊,那我们拿到Windows里看,Windows看起来大家还是比较喜欢看讯界面嘛,对吧?啊同界面双击一下打开看起来啊非非常方便,那我们来看一下这个文件啊,我把它给扔到这个Windows里了,但这个文件在Windows里,大家看这个图标就不对,它不认,不认的话加个后缀让他认不就得了吗?那Windows他认证书文件是CRT或者c err都行了,只要加这种后缀他就知道了,他就知道这是个证书文件了,你改个后缀就行了,诶你看这是图标变了吗?图标了以后,这个说据就打开就可以了,看这看起来多舒服啊,那你看这是不是给谁颁发的,颁发给谁,这这不都清清楚楚。
38:09
不是自签名吗?有效期是不是十年对吧?啊,然后这个证个书,那详细信息这里面都有什么,哎发布者啊,包括这些国家省份不都在这吗?啊对不对,这看起来多舒服啊,这个这这不是公钥吗?这公钥这就公钥对吧?这公钥啊当然这个还有证书入境,哎证书入径这写的说是什么不受信任的跟证书颁发机构这啥意思啊,这是你说你自己签了个证书,那你你你说你是全面谁信呢?那Windows至少不信嘛,对吧?啊,你说你是谁谁谁别人不信呢,对吧,所以他就出现这样的提示了啊那这个别删,我先留着,待会还用呢啊好,那这样的话呢,咱们就这个这个自签名证书就完了啊,这是第一步啊,第一步。好,那么自前进行证书完了以后,接着我们就开始来实现申请证书,那比方说有一个用户啊,像生成证书了啊,比方说我们这个思路七上将来要搭个网站叫就叫3W马格一丢啊,Org这样的一个网站啊,将来我们要用HTPS来实现这个,呃,网站HBS是要涉及到加密的,那涉及到加密呢,你就要用证书。
39:25
那所以呢,我们现在诺七这个机器希望能够向CA申请证书,当然我不想花钱是吧,花钱嗯,公司的公司内部想省这笔钱,那就用自有四自签名证书,就是不是自签名证书啊,就是我们刚才大陆C用私有C来颁发证书不就得了啊,那怎么颁发证书呢?哎,第一步也生成私钥。当然生成私钥,我们可以在七上生成私钥,实际上生成私钥它是随机生成的,既然生成随机生成,那我们在八上帮他生成不就得了啊,八生成以后直接在这哎,让他填写那些所谓的证书申请信息,填完了以后,到时候审计无误的话,就给他颁发就好了啊,所以我们这这样吧,我们建个文件夹。
40:11
呃,建管文件夹,将来假设这是放咱们的证书的,那我们就放在这个目录里啊,这里面将来就放和这个某个应用相关的证书相关文件啊,比方说第一步你要向C申请证书。那么我们C已经有了,现在啊C已经有了,C实际上很简单,我们现在目前来讲,C就有基本的这几个目录文件就够了,当然现在实际上准确度还不全,我们现在有C的证书文件,C的私钥,目前这两文件实际上还应该有两个文件,刚才我强调了一个叫索引文件,一个ex文件啊,还有一个呢,是那个证书的那个编号叫sir,这两个文件我没见,没见,待会你去给用户颁发证书,他会报错,到时候你见来来得及啊,就是我为了让大家知道那两个文件的作用,所以故意不加啊,应该是要初始要建好的,我这实际上文档里面是先建的,大家可以看到我这。
41:05
文档里面是把这两个文件先建起来的,看到没有啊,我故意待会儿先留着它先不建,不建到时候报错咱们再建来得及,嗯。好,所以如果说搭一个C完整的应该是什么呢?应该这两个文件,再加上刚才说的两个文件,这才是一个完整的C,完整C现在不全缺俩文件。好,那接下来我们就把C。利用clc来给将来你的某一个应用来实现证书,那这个证书呢,第一步也是先生成私钥。那先成生成私钥呢,申请生成四要刚才的方法是也是一样的,我们就直接在这做就行了,直接用。Op要基因RC out,这就可以了,这就是生成私钥啊,这就是生成私钥,刚才不是用过这个命令嘛,对不对啊,私钥当然私钥,为了安全我们给他加一个。加一个权限啊,那我因为我已经就希望不在这,我们希望在这个目录下,那我们在这见,那我这样的话就不用写,他就先路径了,我就写在这啊,422048啊,或者是1024都可以指定多少位啊,比方说我们这回换个1024,当然这个位数越长越安全啊,位数越长当然也有缺点,就是计算可能慢一点。
42:21
好,这样的话就生成一个私钥了,大家看这个时候test key就有了,那是私钥啊,私钥这个文件它的权限刚才我们说了0066,这就成了,好,这是第一步,生成私钥之后,我们接下来要利用私钥生成证书申请,利用私钥生成证书申请,那怎么生利用私钥生成证书申请呢?这用re EQ就是证书申请,New是发起申请,那么你要生成证书申请,要利用私钥来申请,所以要跟上私要文件,那么生成的内容将来要存到一个证书申请文件里,叫CSRCSR后缀的CSR就是证书申请文件啊,那存到当前目录下了啊,所以我就不写路径了啊,大家看证书申请是不是要提交那些什么国家省份之类的,刚才说了有几项是必须一样的来着,和这边哪三项国家,那国家我刚才那边签的。
43:21
CN吗?那这也必须CN,这个要不要一样,这个必须一样是吧,这个是河南嘛,那这个必须一样啊,差一个字母大游写也不能行啊,必须一样啊,接着这是什么,这一样不一样要求,这是城市,城市要求一样吗?城市要求一样的吗?你就看文档看看看这这这有这不是前三个,这是一样,但是前三个包括城市吗?人家说的是公司名,组织名,没说城市对不对,所以可以不一样,那比方说我现在我在哪呢?我在洛阳啊,我在洛阳可以,所以你必须一个省,一个国家一个省,但是城市可以不一样。
44:14
城市可以不一样啊,当然这个接下来这个就一样了吧,必这是不是一个公司的,你私有,私有你不是于公司还行的,对吧,所以这个就必须一样了,刚才我填的是马克一丢,这也必须一样啊,当然我待会我可以试一下,故意不一样的话,会报什么问题,我们现在先先先顺利做出做完做完以后我们再犯翻错啊,啊,那接着这是部门啊部门那这个无所谓了,你随便写一个部门啊,比方说啊,这个咱们是开发部门。啊,Develop开发部门,刚才it部门啊,咱们是运维,运维是op OPS啊,现在流行是流行是开发家,呃,加加运维,那将来你们纯粹运维是不行的啊,纯粹运维公司上不去的,20K差不多到头了,20多K吧,30K也就很难上去了,你要达到30K以上就得懂开发,懂开发那至少得懂点Python吧,当然不一定多精通,至少写个脚本行。
45:16
啊,这个不要求多高啊,但是你必须懂一说会不会写会开,能写一些脚本就行啊,你要不会的话,那个工资上不去,20多K差不多到头了,所以欢迎你们过上一段时间回来继续学拍on啊,不学也行,那你要二多K你就满足就行啊。好,那接着我们这写command name,那command name呢,就是你的,那那你是给那个服务器用的啊呃,刚才这个地方写这个名字,哎,实际上刚才那个地方签的有点不太好,因为我刚才那个不是给这个3W马可就是这个网站用,应该是比方说给C用,我应该前面应该写个C啊,那这我就写3W码给丢了,就是给一个服务器的网站网一般是网站名,这写的就是服务器的网站名,域名,邮箱邮箱写一个邮箱不用也行,空着也行。
46:14
然后这儿还有一个什么口令,这个口令我就不加了,额外的信息我就不加了。还有什么可选的公司名我就不写了,这些都可以不填啊,那这样的话呢,这个证书申请文件呢,就生成了啊,大家看CSR文件就生成了证书申请文件申请完了,那我们可以交给C来进行审计审核啊,将来如果觉得没问题就可以颁发证书,那颁发证书怎么颁发呢?啊,颁发证书刚才说了要把C生成的信息要放在ETCPPI,呃,C这个目录下,就在这。啊,那么颁发证书的命令是什么呢?颁发命令证书的命令是这个叫。
47:02
OPS的C后面跟上证书申请的申请文件,然后输出到一个颁发的证书文件,这就行了啊,可以指定有效期,如果不止默认365天。啊,365天。一般公司里面啊,给一些这个服务器颁发证书可能长一点啊,比方说你要给K8S服务来颁发证书,你别太短了,一年过期了,你到时候还得重新续,还得重新申请证书啊,这个忘了的话,到时候服务会停了的啊,但是你要给用户颁发就可以,比方说有些用户他拿这个证书是为了这个,呃,实现公司的一些登录验证的,那这时候呢,这个用户证书就可以适当短一点,比方说三个月半年啊。两个月为什么要短一点的,因为员工有离职对吧,你设一下来个十年的,人家都离职十年了还有效,你这不他有可能拿着证书是不是离都离职好长时间还跑到你公司网络去,不安全啊,所以这个用户的证书可以时间短一点。
48:06
用户的时间证书可以短一点,对服务器证书可以长一点,那服务器就在你公司用嘛,对不对,哎。啊,当然这个接下来我们就开始颁发证书啊,那证书呢,这个文件是被我放在了,呃,刚才是data下的S这个目录下,然后生成的证书文件我就放在这了,放在search下,放在search下,刚才也说了,在search下呢,它将来将来它会生成两个证书文件,会生成两个证书文件。一个就是你这指定的路径就这个,一个是在new色小。但是现在颁发证书会有错误的啊,看错出来了什么错?刚才说过了,我们缺俩文件,一个文件叫什么来着,你看这是不是就缺那个index文件呀,他说这个错误就是打不开这个文件,RR读,我以只读方式打不开这个文件啊,所以呢,你把它创建出来呗,这个文件呢,只要创建就行了,不需要指定它的内容,空文件就行,必须有啊,是空的啊,那把它建起来就好了,Touch行了,这样就可以了啊,我们看一下当前的证书文件列表,现在是不是多了一个应代子这样的文件呀?啊,这个路径就在C的目录下就行了啊,不在子目录里啊,因为我们这写了路径了,你你这人家告诉你了,说英ex放在哪是不是啊,就放在这个ETCPKC的下面,就叫index啊。
49:49
啊,这个路径是固定的啊,好,那当然我们现在再来一次,第二次再执行的时候,这回他还会报错,因为我们还缺那个serve文件,你看是不是还缺一个sa文件对吧?这个sa文件呢,刚才说了sa文件放什么东西来着,哎,放那个什么给用户给这个证书颁发的时候,证书的编号,那这证书编号你得写个号啊,你没号不行啊,所以我们就把这个文件建起来,但是我们写个号,比方说我们从0F啊,这是16进制啊,16进制,那也就是说将来它会从十从F开始颁发整数,你第一个是F,下一个我应该知道是多少了吧。
50:30
下多少?下一个就是一零了,因为16进制嘛,对不对。是吧,啊,如果你这写九,那下一个就是什么。A嘛,是不是0A嘛啊,但一般来讲,我们一般都是从零呀,零零啊或者零一开始我这为了演示这个16进制,我故意这个写个,比方说写个F,明白了吧,我告诉你这是个16进制啊好,然后呢,我们写在这这个文件呢,嗯,要放在ETCPKC下,必须叫这个名字,人家那个文档里要求这个,你就写这个。
51:13
把它建起来,那这样的话里面就有。连了个0F啊,然后我们看一下这个里面,现在咱们的目录结构里面就多了,又多了俩文件,现在有四个文件了是吧?啊,其他都是文件夹嘛,是不是这个这个路径是写死的,你就参考这个文档就行了,这文档写着呢,你照抄就行了,是吧,你照抄。好,那接着我们继续来颁发,刚才不是颁发失败,我们再来一次啊,这回时间短一点长一点吧,100天100天,咱们换一个什么呢。换个这个这个365,哎,换个七百二吧,七百二就两年嘛,是吧,两年好我就指一个值啊。
52:05
走诶,你看这时候不报错了,不报错了,看这是不是就把我们刚才填写申请的时候,那个申请信息就填在这了,这出在这了,哎你看一看这个你是不是他对你看他签的对不对啊,当然这个东西啊,你光干签是不行的,你人家签啥是啥你就信了,你是不是要实际考核呀,对吧,你实际上真的要实际考核,你像你在阿里里面,你去买那些证书,你些证书你签是一方面,还要对你的身份要做检查的,比方说公司,如果是公司要提供,呃,以公司身份去申请证书,你要提交公司的那个,那个比方营业执照之类的,你要提交这些东西的啊,不是说你要随便填,你填上就信了,那怎么可能呢?对吧,你填上一方面人家要去检查的啊,就那钱也不是白掏的是吧。1万块钱呢,怎么也得检查一下。因为他要承担责任的,好那么假设,那我们填写的东西都是真实可靠的,这边不就是那个720天那个有效期嘛,你看这个是不是两年啊。
53:10
对吧,两年好,那这些东西呢,我们就确定无误的话,那就可以敲yes了,Yes就是给他签名了,那就给他颁发证书了啊,那看着颁发证书,在颁发证书之前,我们再次验证一下当前目录里的文件列表,我们有四个文件夹,四个文件,大家看到吧,呃,那我们一旦签发,看看它有几个生成的新文件。确定吗?确定再次确定,所以他这个确认还得两次确定。就是怕你出错嘛,啊怕你出错,那我们现在在执行的时候,现在还没有出现新的文件,那么第二次确认的时候才会出现,好这时候大家看这时候多出几个文件了,你盯着点,你对比一下啊,眼神好的同学盯着点。多了三四个,多了几个,这这这还用看吗?这不四个吗?这不是九个吗?这不五个吗?这这还这是啥数啊,你们这个,你这吹命令看着不熟啊,这不写着九吗?这不是四吗?这不五个吗?好吧,那那眼神好的同学也数出来了啊,那当然,那我们多出来哪些文件呢?你看这些文件是不是多出来的,这个是不是生成的,你看0F,刚才说这个0F啥东西啊,这个0F是和它实际上是同一个东西啊,这只不过它文件名加了个这个序列,就是那个编号而已,实际上他俩同一个东西啊,你赶紧比比避FF一下,DF是可以比较两个文件的不同的啊,比较S下的什么test,还有一个是ETCPKC下的这个new,四次下的0F,你看它俩是一模一样的。
54:50
你不样啊,都是文本文件啊,都是文本文件啊,这是不就证书嘛,这就是证书,你看这个地方是不是填了我们。那些所谓的国家啊,这个省份这些这不就这个吗?啊啊,所以这就是他的这个证书啊证书。
55:07
啊,当然这个证书填完了以后呢,我们再看一下啊,再看一下它多了一些别的文件,比方说这个文件做了,那这个文件是啥东西呢?这个文件刚才不是写了个0F吗?那现在这个0F还是0F吗?刚才说过了这个文件它会怎么样?哎,它会自动的增长,你刚才是0F,这回就不是0F了,应该下一个了,加一了,因为它下一次办完之后不能再用0F,是不是应该叫一零,看是不是一零对不对,那当然我们这个O里面你应该猜到这是什么,是不是原来的备份呢?就是原来的备份,那就是0F,就是原来的备份,所以你下一次再颁发证书就变成一零了,那个证书。当然我现在颁发了证书,那到底颁发了几个证书,分别是序号是多少,他们状态什么,哎,放在这个文件里了,这个文件它就会填东西了,刚才是我们建了个空文件,对吧,那现在看一下它里面放的东西是什么,你看这里面写了一个证书的编号的一个F,这是不是就是我们给谁谁谁颁发的证书的信息,目前来讲V呢,是不是它有效期,V是它的有效期啊,V是有效期。
56:21
好,这是证书的信息,当然,那你应该猜到这东西什么东西?这就上一个版本的备份嘛,当然上一版本是空的嘛,是吧?对啊,那这个呢,里面记录的是它的一个控制信息,At tr是个控制信息,待会我们再说这个问题啊好了,那这就是颁发证书就完了,那这个证书呢,就可以拿过来用了,听到吧?啊,那么在工作中怎么用证书,这个我们具体服务具体说咱们现在先不讲啊,我们将来一般用证书需要几个文件呢?一般证书需要真正使用证书的书需要三个文件,哪三个文件呢?第一证书文件本身,第二,私钥文件。
57:07
啊,就是这个证书对应的私钥文件是谁,就这个K。第三就是C的证书。三文件一般不需要。因为你没有C,怎么证明这个证书是合法的呀,对吧,用C来验证你提供的证书是真实可靠的,对吧,那当然现在呢,这个问题有一个问题啊,就是这个证书啊。我现在把它传到Windows里。我给他传到Windows里,虽然这个是被签发的这个证书,被颁发了这个证书,但是你看把这个在Windows里,你去访问这个证书会有什么问题啊,啊,这是我们刚才自己颁发的证书,这个证书文件打开以后,你看它出现什么事呢?看见没?这中午有事啊。
58:03
有问题啊,不能验证啊,为什么不能验证啊,你这个证书谁颁发的呀?啊,你这证书,哎,你你说是谁颁发的。啊,这个注意啊,我这个实际上写的有问题啊,这个说实在写的有问题,刚才不应该叫这个颁发者叫3W啊,因为我们刚才不小心给把这3W都给写成都叫3W了啊,这个正常应该一个叫C1才对啊,一个叫C马一丢,这个不不像应该写写成一样了啊,就是我在实现那个证书的自签名的时候啊,应该写个C马威六二几,要不就现在就看不出来了啊,看不出来了,不过呢,这个国家待会能看出来,就是我们填的东西是不一样的。天,东西不一样。那你们将来在颁发证书的时候,就给C自签名证书的时候,和那个证书和那个给用户颁发的证书那个呃,所在的这个这个呃,Command name就是通用名那个不要一样了啊,不要一样了,一样的话就看起来有点区分不了了。
59:07
用不了了,那就在这个地方,我们刚才填了一个那个自签名证书。呃,自签名证书在哪儿呢?他这儿省略了那个过程了,没有,没有留下那个填写那个信息。没了。好,那这个就是目前来讲他的C信息是没有的,所以我就不不能验证你这个证书是合法的,那怎么办呢?那就把那个C找回来呗,我们刚才不是已经拿到C了吗?这不就C的证书吗?那这个C的证书系统因为不认不认,所以他办个证书自然也不认,那怎么办呢?把它装上不就行了吗?那装怎么装呢?双击打开。然后这是不是有个安装啊,直接点。
60:00
哎,你用这个也可以,或者不用这种向导,咱们走别的地方,就是上次说的那个控制面板。啊,控制面板。在这找应该的选项。在这在这个地方有个内容,这不有个证书嘛,那我们由于我们自己搭的C,是不是我们属于网络中的第一个C,也就是跟C嘛,现在因为它是一个自己搭建的,所以我们这个Windows里面默认肯定是不信任的,所以这里面是没有他的,没有他。看吧,没有它,所以的我们就导入就好了,把它加进来,导入的话也是个向导,那个文件被我放在桌面上了,把那个桌面找到就行了。就这个吗?看见没有,就这个双击下一步这个默认就行了,它会导到这个受信任的证书颁发机构列表里面去。导入完了以后,一回车,你看他就问你了,是不是要确认导入,你这个导入一定要小心,别导错了,别导到一个把一个黑客的宣称的假证书给你信任了,那就。
61:09
完蛋了,好,那么导入成功大家看导入成功以后这就出来了。啊,在这儿看见没有啊,不过这个名字实在起的不好听啊,哎呀,实在是不舒服。啊,我我决定重新生成了啊,这实在是看着不舒服,不过他他要是重新生成了,那么将来生成的新证书再重新颁发了啊,重新颁发啊,这个没关系的啊。呃,刚才我那个在哪颁发的证书来着,不在这也是在这。这个这个不就是那个吗?这就是那个对吧,这不就生成那个,那我把它先删了啊啊ETCPKC啊这个这个应该是C。
62:14
啊C下的什么呢?CA把这个删了,因为这个起的名字当然起起的不对啊,把它重新创建一下,重新创建一下。啊,然后这个国家这是省,这是郑州,呃,河南。上海。城市郑州组织改革一。这是部门,哎,这别写错了,这写了嘛,这一二啊,这改了,要不就和那个咱们用户的证书给冲突了一样的名了,那这我就不写了,那这样的话就可以了,那我们就生成了新生成的一个C的证书,就这个这自签名证书啊,自签名证书不影响。
63:18
好,那我把这个文件呢,也是给它传到Windows。啊嗯,那接着我们把刚才的证书申请啊,重新申请一下,不过这回我们再申请一个新的,再生成一个新的,那再生成一个新的的话呢,是这样的,我们假设我们网络中还有别的应用,也希望生成自己的证书申请,那这时候怎么办呢?也是重复刚才过程,第一步先生成私钥,先生成自己的私钥。先生成四药。比方说我这儿有一个叫。
64:03
APP的一个应用,他需要自己的证书,所以呢,他就申请。啊,生成完文件啊,生成完了,生完以后利用这个APP的私钥来生成证书申请文件,生成证书申请文件。啊,这个是生成证书申请文件APP1啊,生成的证书申请文件的文件名叫APP1CRCSR,这时候呢,就要添东西了啊。啊,我刚才说了有四项三项是必须一样的,我故意不一样,比方说哎国家我故意不一样,比方说我们选个啥呢?选个美国吧,Us故意不一样,刚才不是一样是可以的吗?对吧,故意不一样,哎周周的话呢。纽约州吧,纽纽约州咋写啊,那纽约那个咋写来着,Newyor newyor什么K是吧?是这个吗?啊好,你们还都记得,看来你们出过国玩过是吧,没有啊啊啊,那这个是城市啊,城市就就纽约吧,牛油啊这个不注意这个地方,我估意这个两个都不对的啊啊这个公司咱们还是在一个公司里面,只不过在不在一个城市,不在一个地方啊部门部门,比方说就随便写一个啊哎,在开发部吧,那这个呢。
65:58
写上一个比方说APP的一个应用啊,APP的一个应用好邮箱我就不写了,这样就填完了,那么填完以后啊,现在我们看一下这个证书的申请文件就有了,证书申请完文件有了以后呢,我们又可以给他签发证书了,签发证书呢,也用的是类似的命令啊,来签发证书。
66:22
签发证书用的是这个。Re EQ就应该是C等命令啊,不在这,那再跑到这边来了,那这个证书签发用的是这个命令。嗯,这个这个这个来签发,那签发证书这写上它的路径也放在news下,这个叫一,然后呢,这个证书的请求文件是APP1啊就放在这,这样就行了,签发的有效期是100天,我就不动了。
67:03
好,这是它的证书签发,但是这个签发就会有问题了,因为我们要求是三项一样,结果有两项不一样,所以它就会提醒你了,看到没,是不是告诉我们了,说国家不一样。不一样不行啊,那不行,那咋办啊,那就要不你就重新生成正式申请再来一遍,那这个太麻烦了,那我们也有一个招,也有个招。咋着是吧,把配置文件改了是吧?那不是改策略吗?Open SL这里面不是要求这三项一样,那我故意的我就不一样不就行了吗?那我这这国家允许你不一样,就写上optional不就行了,Option,那这个是不是也可以不一样,那这个我们先不改它,那现在由国家至法就允许一样了啊,允许不一样了,我这改了,把这个策略给改了啊,改了以后呢,我们再来一遍,看看他还会报报错不?诶这回报的是不是就不是那个国家了,而是,而是,而是那个省了,嗯,省了,那省了,那我们把这省也改一下呗,这边也改成那不就行了吗?
68:15
是吧,这这不就行了吗?啊,就现在改策略了,相当于那这样一改的话,你是是不是表面上实际上就不叫45C了。这是不是就相当于我OK给合作伙伴什么的给颁发证书了是不是,哎,好。你看这回不报错了吧,这可以了对吧,你看颁发证书对不对,哎,纽约的合作伙伴是吧,现在纽约就属于中国的一个省嘛,是吧,那咱们以后这地球村啊,一个一个一个一块了,不分什么你我了啊,一块。哎,那就歪一下不就行了,这就完了,哎这时候呢,我们就把证书就就就发法来了gpi啊,你看是不是这不又有了啊,又你看这是不是又出了个幺零是吧?啊,这是我们新颁发的证书啊,把这个新颁发的证书,我们可以把它传下来。
69:25
啊传到,然后我刚才生成了一个新的那个CA文件,这个新的C文件是我新生成的,旧的那个就不要了,旧的那个不要了,那我就把这个旧的给他删了。旧的那个C删了,删了以后呢,我们再重新。来烤一下。
70:08
考过一次了,已经有了。有了。好行好,然后呢,把这个文件名给它改一个后缀,比方说这个这回改成CCER后缀也行啊,CCRT和cer后缀他都行,他都能认得,这是证书,你看没有啊啊,当然这个PE1是我们新颁发的证书,这个新颁发的证书呢,它一旦颁发,它也会自动的去更新index文件,大家看这是不是有一个新证书颁发了,对吧?诶新证书颁发了,然后它也会自动的在增长,那个S大家看比为幺幺了,自动增长。啊,然后呢,我们把这两个文件已经传到桌面上了,我们来看一下这个APP啊,双击打开,大家看它同样。
71:02
诶,他这既然出现这样的一个提示啊,什么提示啊,他说诶这个东西没问题了,那这个为什么没问题了呢?那就是因为我们把它已经信任了,我们刚才是不是在那个英泰的选项里面,是不是把它导进去了呀,哎导进去了,所以它就没问题了,我们给他导进去了,导进去以后呢,他就觉得哎这个证书是可信的了,哎,这导进去了。看到没有导进去了,那如果把它删了,把它删了删了,删了以后我们重新再打开。再打开你看他又不信任了,明白了吧,看,所以呢,你只你要是想使用证书。你得先信任这个证书的颁发者,也就是他那C,你不信任的话,这个证书相当于是无效的。啊,不认你这个证书啊,所以导入证书这个是很重要的啊,当然我刚才因为重新创建CA了啊,所以这个这个证书文件呢,我也可以用双击的方式把它导入啊,双击的方式也可以导入,用安装也行,安装的话,当前用户选择这一项,第二个人们要选择一个受信任的跟证书颁发机构,这个路径别选错了,选这儿下一步,诶这一定要出现这个图画框才行,Yes,这样的话就导入成功了,导入成功以后,那在控制面板里面咱们也能够看到这项了。
72:42
啊,这里面有控制面板Internet Internet啊这你这就你应该看到我们又又导进去了。啊,你看这个地方有没有一个自大的C。
73:02
CA。这个。知道吧,啊,你看这个有效期是不是我们定义的十年是吧,就是他啊,那么既然他都信任了,所以他颁发的证书自然就信任了,所以底下的这两个C就没问题了,你看。是吧,哎,这不这回又改了,看这是不是被我改了名字了,这看起来就比较舒服了,要不都叫3W,看起来就别扭了,是吧,那也不知道谁了,那这个呢?那这还是老的那个,没没没改那个啊啊,这就是咱们证书的申请和颁发,但是我再问大家一个问题啊,就是我这个证书啊,能不能用相同的一个证书文件在反复生成多次申请呢?什么意思啊,就是说我这已经有一个叫APP的ser申请证书文件了,那我能不能再向咱们这个服务器申请一下呢?
74:06
就是一个证书申请颁发多个证书行不行,这已经生成了一个证书申请文件了,那我们这个针对他我再颁发一次行不行。嗯,再颁发一次,颁发多个证书行不行,刚才不是已经颁发了一个证书了吗?那我这再颁发一个,比方说APP,呃,这个杠二,我再给他颁发一个,就是用同一个证书请求文件生成多个证书文件行吗?现在你一个人申请好几个身份证行吗?这个这个200天假设。看到提示了吧。说什么提示啊,他说你已经颁发过了,你不能再反复颁发了。
75:05
啊,不行,那事实上要想一个人申请多个证书也行,方法就是我们这儿有个文件,这个文件控制着是否可以,大家看这有个unique subject user subject就是那个标题,就是我们填写的国家省份那些东西,那默认它是要求是每个证书有唯一的。Subject,那不yes吗?那你把它改成no不就行了吗?对吧,改成no,改成no改成动以后,你再颁发一下证书,看到没,是不是没错这回啊,当然这个颁发了以后呢,将来就意味着这两个人实际上证书的内容是一样的,就是文件名不一样。呃,版本号不一样,就是那个编号不一样啊,它也会自动的去更新咱们说的那个index文件,但是你这时候你会发现这两个证书十和11号它的信息是一样的,都是纽约,都是纽约啊,那当然我们这时候呢,看一下这就有一个11的文件啊和这个呃APP2的这个文件,这两个文件实际上是同一个东西,你也可以把这个文件给它传出来啊,比方11.pm把它传出来,传到桌面上。
76:25
啊,传到桌面上以后呢,你把它改成文件后缀,改成比方说CRT后缀或者CR后缀都行啊,然后呢,你双击打开。啊,你看这里面写的内容。写的内容跟我们之前那个证书是一模一样的啊,因为他就是同一个证书申请过来的啊,但是它的有效期就不一样,它的有效期是200天嘛,你看9月4号到3月23号是不是200天对吧?啊,它也是同一个C颁发的证书啊。
77:06
好,这就是咱们呃,证书申请的流程,那这个证书申请你们手工执行都没问题啊,不就是复制粘贴吗?对吧。但是你要知道将来工作中是这么写吗?将来我们要用脚本实现。因为这样才能实现批量执行。那问题来了,我们刚才执行的时候是不是很多都是交互式的,交互式的是不太适合于批量执行写在脚本里。那将来你就想办法把你怎么把这种交互式的变成非交互式的,才能写到脚本里批量执行,对吧。这个问题你要解决,要不你没法没法批量执执行了,你企业里面比方说100台机器,你要每个机器都要申请证书,你要手工执行啊。是吧,这个工作量就有点大了,写脚本啊,那脚本怎么写,你们自己想啊,不要看我的博客啊,暴露了是吧?啊,但是证书有了,但是证书不是说一直用的,证书有过期的时候,他过期了,实际上无所谓过过期了,比方说服务器或者用户过期了,结果他还想接着用,比方说你申请给一个员工给他颁发了个证书,他有有效期一年,结果人家一年还在这上班的,你还得给人办发,那怎么那重新申请一个呗,重新申请,重新打报告就重来一遍嘛,就意思是啊,这个所谓的续续续,这个实际上就重新来一遍,再来一遍啊,但是万一要他一年不到,他就离职了,那是不是我要把这个证书给他销毁啊,哎,销毁怎么销,这也是我们要掌握的,不过这个内容我们下午再说,好吧,上午我们就讲到这吧,下课啊。
我来说两句