1. Cree una CA privada y solicite un certificado.
(1) 创建 CA 相关 目录 和 文件
[root @ CentOS8 test] #mkdir -pv / etc / pki / CA / {certs, crl, newcerts, private}
mkdir: directorio creado '/ etc / pki / CA'
mkdir: created directorio '/ etc / pki / CA / certs'
mkdir: directorio creado '/ etc / pki / CA / crl'
mkdir: directorio creado '/ etc / pki / CA / newcerts'
mkdir: directorio creado '/ etc / pki / CA / private '
[prueba de root @ CentOS8] #tree / etc / pki / CA
/ etc / pki / CA
├──
certs ├── crl
├── newcerts
└── private
(2) 创建 CA 的 私钥
[root @ Prueba de CentOS8] #cd / etc / pki / CA
[root @ CentOS8 CA] # (umask 066; openssl genrsa -out private / cakey.pem 2048)
Generación de clave privada RSA, módulo de 2048 bits de longitud (2 números primos)
.................................................. ............... +++++
.............................. ............................ +++++
e es 65537 (0x010001)
[root @ CentOS8 CA] #ll
total 0
drwxr -xr-x 2 root root 6 5 de febrero 22:13
certs drwxr-xr-x 2 root root 6 5 de febrero 22:13 crl
drwxr-xr-x 2 root root 6 5 de febrero 22:13 newcerts
drwxr-xr-x 2 root root 23 5 de febrero 22:16 privado
[root @ CentOS8 CA] #tree / etc / pki / CA /
/ etc / pki / CA /
├──
certs ├── crl
├── newcerts
└── privado
└── cakey.pem
4 directorios, 1 archivo
[root @ CentOS8 CA] #ll private /
total 4
-rw ------- 1 root root 1679 5 de febrero 22:16 cakey.pem
(3) 给 CA 颁发 自 签名 证书
[root @ CentOS8 CA] #openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
Se le pedirá que ingrese información que se incorporará
a su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un Nombre Distinguido o DN.
Hay bastantes campos, pero puede dejar algunos en blanco.
Para algunos campos habrá un valor predeterminado.
Si ingresa '.', El campo se dejará en blanco.
Nombre del país (código de 2 letras) [XX]: CN
Nombre del estado o provincia (nombre completo) []: henan
Nombre de la localidad (p. Ej., Ciudad) [Ciudad predeterminada]: jiaozuo
Nombre de la organización (p. Ej., Empresa) [Compañía predeterminada Ltd]:
Nombre de la unidad organizativa de DCC (p. Ej., Sección) []: TI
Nombre común (por ejemplo, su nombre o el nombre de host de su servidor) []: ca.lirui.org
Dirección de correo electrónico []: [email protected]
[root @ CentOS8 CA] #tree pwd
/ etc / pki / CA
├── cacert.pem
├── certs
├── crl
├── newcerts
└── privado
└── cakey.pem
4 directorios, 2 archivos
(4) Clave privada generada por el usuario y aplicación de certificado
[root @ CentOS8 ~] #mkdir / data / app1
[root @ CentOS8 app1] # (umask 066; openssl genrsa -out /data/app1/app1.key 2048)
Generando clave privada RSA, módulo de 2048 bits de longitud (2 primos)
......... +++ + +
................................................ . ................................................. . ................................................. . ....................................... +++++
e es 65537 (0x010001)
[root @ CentOS8 app1] #openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
Se le pedirá que ingrese información que se incorporará
en su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un Nombre Distinguido o DN.
Hay bastantes campos, pero puede dejar algunos en blanco.
Para algunos campos habrá un valor predeterminado.
Si ingresa '.', El campo se dejará en blanco.
Nombre del país (código de 2 letras) [XX]: CN
Nombre del estado o provincia (nombre completo) []: henan
Nombre de la localidad (p. Ej., Ciudad) [Ciudad predeterminada]: jiaozuo
Nombre de la organización (p. Ej., Empresa) [Compañía predeterminada Ltd]:
Nombre de la unidad organizativa de DCC (p. Ej., Sección) []:
Nombre común (p. Ej., Su nombre o el nombre de host de su servidor) []:
Dirección de correo electrónico []:
Ingrese los siguientes atributos "adicionales"
que se enviarán con su solicitud de certificado
Una contraseña de seguridad []:
Un nombre de empresa opcional []:
[root @ CentOS8 app1] #ll
total 8
-rw-r - r-- 1 raíz raíz 964 6 de febrero 23:03 app1.csr
-rw ------- 1 raíz raíz 1675 6 de febrero 23:01 app1.key
De forma predeterminada, hay tres elementos que deben ser coherentes con la CA: país, provincia y organización. Si son diferentes, aparecerá un mensaje de error
(5) CA emitió un certificado
[root @ CentOS8 app1] #openssl ca -in /data/app1/app1.csr -out / etc / pki / CA / certs / app1.crt -days 1000
Usando la configuración de /etc/pki/tls/openssl.cnf
Verifique que la solicitud coincida con la firma
Firma ok
Detalles del certificado:
Número de serie: 10 (0xa)
Validez
No antes: 6 de febrero 15:13:26 2021 GMT
No después: 3 de noviembre 15:13:26 2023 GMT
Asunto:
countryName = CN
stateOrProvinceName = henan
organizationName = DCC
organizationUnitName = IT
commonName =
app1.lirui.org Extensiones
X509v3 : X509v3 Restricciones básicas:
CA: FALSO
Comentario de Netscape:
Certificado generado por OpenSSL
X509v3 Identificador de clave de asunto:
C6: 76: BA: AB: AF: 2D: F7: 50: 02: F9: 37: A1: 18: 3B: F5: 69: 37 : 61: 5F: AA
X509v3 Identificador de clave de autoridad:
keyid: C0: 40: 4F: D3: 4A: 1D: E8: 33: 45: 70: 4E: 1E: 31: FD: D2: 00: 57: 1F: 35 : El
certificado D7 se certificará hasta el 3 de noviembre a las 15:13:26 2023 GMT (1000 días) ¿
Firmar el certificado? [y / n]: y
1 de cada 1 solicitud de certificado certificada, ¿confirma? [s / n] y
Escribir base de datos con 1 nuevas entradas
Base de datos actualizada
[root @ CentOS8 app1] #cd / etc / pki / CA
[root @ CentOS8 CA] #tree
.
├── cacert.pem ├──
certs
│ └── app1.crt
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old
├── newcerts
│ └─ ─ 0A.pem
├── privado
│ └── cakey.pem
├── serial
└── serial.old
4 directorios, 9 archivos
(6) 查看 证书
[root @ CentOS8 CA] #openssl x509 -in / etc / pki /CA/certs/app1.crt -noout -text
Certificado:
Datos:
Versión: 3 (0x2)
Número de serie: 10 (0xa)
Algoritmo de firma: sha256WithRSAEncryption
Emisor: C = CN, ST = henan, L = jiaozuo, O = DCC, OU = IT, CN = ca.lirui.org, emailAddress = [email protected]
Validez
No antes: 6 de febrero 15:13 : 26 2021 GMT
No después: 3 de noviembre 15:13:26 2023 GMT
Asunto: C = CN, ST = henan, O = DCC, OU = IT, CN = app1.lirui.org
Información de clave pública del sujeto:
Algoritmo de clave pública: rsaEncryption
RSA Public-Key: (2048 bit)
Módulo:
00: 9d: b2: 71: a7: 57: 34: 75: 43: 9c: 0b: b5: 2f: 43: fd:
5d: ee: 55: 69: e4: f5: a7: c8: 03: bb: 0b: 1f: e5: ab: 81:
b8: a2: f1: 03: 6f: fa: 4b: 18: ac: 1e: ba: ad: ba: 3b: 39:
2b: 4e: fe: c7: 49: c8: 8f: 12: e0: fd: 0d: 66: 87: 8e: ab:
70: 79: 70: be: 09: d9: ba: 85: 77: 60: 96: 35: 61: b8: aa:
07: 02: a9: c6: 7d: c9: 44: 32: cb: d0: f8: b5: 48: 2a: 65:
30: 9a: ce: a5: af: 52: 02: c8: 88: 60: ae: ae: fc: a3: 96:
e0: 0c: 85: ab: 01: 18: ff: af: 12: c3: 86: 16: 2d: f1: 36:
48: 49: 73: ca: ba: 92: 11: 41: e4: 8b: 62: a8: 18: 15: 4c:
e0: 1c: b6: 9c: b2: 45: 39: 2b: 66: 43: a6: b5: 21: 75: 45:
b4: 6b: 11: 38: e6: 91: f2: 28: a3: ee: 89: 01: 4e: 85: 9e:
dd: 70: f6: 3d: cf: 1d: 3b: 16: 57: 96: 18: 6a: 65: 41: 36:
64: 94: 4b: b0: 4c: 3e: 63: ca: 90: a4: a8: 2d: 07: 58: ee:
6a: cd: ee: 69: e3: 1f: 46: 72: a7: 64: a7: dc: 88: 77: 5a:
6f: 8b: 6a: bb: 4c: 08: fa: bb: 2b: 68: 01: 71: e9: b3: 92:
8a: 83: bd: fd: fc: 6c: 3d: 9a: 9c: 20: d1: 15: c8: f3: cb:
c4: cb: 44: c6: 2d: 42: 5f: 44: 37: 67: 53: 8a: b1: fd: ea:
eb: b1
Exponente: 65537 (0x10001)
Extensiones
X509v3 : X509v3 Restricciones básicas:
CA: FALSE
Comentario de Netscape:
Certificado generado por OpenSSL
X509v3 Identificador de clave de asunto:
C6: 76: BA: AB: AF: 2D: F7: 50: 02: F9: 37: A1: 18: 3B: F5: 69: 37: 61: 5F: AA
X509v3 Identificador de clave de autoridad:
keyid: C0: 40: 4F: D3: 4A: 1D: E8: 33: 45: 70: 4E: 1E: 31: FD: D2: 00: 57: 1F: 35: D7
Firma Algoritmo: sha256WithRSAEncryption
4c: e3: 9f: 2f: d6: d9: 50: 85: 03: e1: 42: 14: 0e: 91: ed: 6e: 48: e2:
22: 4b: 75: 84: 22: ae: 10: 62: a7: 90: 66: 06: 27: 24: 49: 4d: 92: 73:
15: ca: 6e: 90: 44: 40: 88: d1: 90: bd: 83: 34: 4c: 99: 97: 08: 4b: 92:
10: 40: 2f: ad: f6: 3e: b2: 36: b7: b3: 28: ae: 17: 22: 4a: a0: 9e: 0a:
94: c4: 56: 5c: 5c: fe: 2e: 26: ef: f0: 31: 1c: 7d: 8f: 31: 28: d6: a6:
60: 01: 38: 29: b8: 41: 13: 2b: 3d: 2b: f1: 7b: 99: f1: 03: 59: b4: 68:
6a: 23: 32: d7: ea: 3b: 8d: c9: ea: 87: cd: d8: 04: 86: 1e: b5: c0: 73:
7e: 00: a0: bf: da: 2c: b7: 77: fb: 44: f7: 87: 8c: 9b: ad: 6d: 78: d0:
35: 7d: e5: aa: 18: e4: 8b: 6e: 44: 85: ef: e9: b9: f4: dc: 49: 47: 2e:
bb: ca: 53: a8: 8b: 06: ae: 6d: aa: 2a: c9: a4: 58: 89: 72: 59: 77: 79:
de: c0: 1e: 05: 23: f6: fa: 08: ca: 37: 90: 8d: 58: 4c: 1a: a7: 65: 44:
82: 2b: b4: ef: b3: d7: 41: 02: f5: b9: b6: e8: 9f: 01: f7: b7: bf: 2f:
6b: b4: 9b: 88: f3: 76: 77: c8: d7: 02: b1: 95: de: 00: 79: 5e: b4: 86:
8e: 68: df: 99: e2: 9a: 32: be: a6: f5: a8: 65: 35: 00: 7a: 3d: 91: 27:
38: 40: c0: c
(7) Envíe los archivos relacionados con el certificado al cliente para usar
[root @ CentOS8 CA] #cp /etc/pki/CA/certs/app1.crt / data / app1
[root @ CentOS8 CA] #tree / data / app1
/ data / app1
├── app1.crt
├── app1.csr
└── app1.key
0 directorios, 3 archivos
2. Resuma los parámetros comunes y el uso de ssh
命令格式:
ssh [option] [user@]host [COMMAND]
ssh [option] [-l user] host [COMMAND]
常用选项
-p port:远程服务器监听的端口
-b 指定连接的源IP
-v 调试模式
-C 压缩方式
-X 支持x11转发
-t 强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
-o option 如:-o StrictHostKeyChecking=no
-i <file> 指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa,~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等3. Resuma los parámetros comunes del servicio sshd
服务器端的配置文件: /etc/ssh/sshd_config
常用参数:
Port
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值,默认值10
Banner /path/file