linuxca
A. 如何在linux里為ca生成一個私鑰
[root@apache ~]# yum install openssl
生成證書文件
創建一個rsa私鑰,文件名為server.key
[root@apache ssl]# openssl genrsa -out server.key 1024
Generating RSA private key, 1024 bit long molus
…………++++++
…………++++++
e is 65537 (0x10001)
用 server.key 生成證書簽署請求 CSR
openssl req -new -key server.key -out server.csr
Country Name:兩個字母的國家代號
State or Province Name:省份名稱
Locality Name:城市名稱
Organization Name:公司名稱
Organizational Unit Name:部門名稱
Common Name:你的姓名
Email Address:地址
至於 『extra』 attributes 不用輸入.直接回車
生成證書CRT文件server.crt。
[root@apache ssl]# openssl x509 -days 365 -req -in server.csr -signkey server.key -out server.crt
B. linux常見的應用分哪兩個方面
1、Linux繼承了Unix的特性,具有非常強大的網路功能,其支持所有的網際網路協議,包括TCP/IPv4、TCP/IPv6和鏈路層拓撲程序等,且可以利用Unix的網路特性開發出新的協議棧。
2、Linux系統工具鏈完整,簡單操作就可以配置出合適的開發環境,可以簡化開發過程,減拿余少開發中模擬工具的障礙,使系統具有較強的移植性。
(2)linuxca擴展閱讀
Linux一開始是要求所有的源碼必須公開,並且任何人均不得從Linux交易中神敏穗獲利。然而這種純粹的自由軟體的理想對於Linux的普及和發展是不利的,於是Linux開始轉向GPL,成為GNU陣營中的主要一員。
Linux憑借優秀的設游卜計,不凡的性能,加上IBM、INTEL、CA、CORE、ORACLE等國際知名企業的大力支持,市場份額逐步擴大,逐漸成為主流操作系統之一。
C. linux named.ca 有 SOA
多檢查一下,配置文件一般在/etc/named.com 數據文旁彎件一般在/var/named ,需要配置其他的DNS解析的話,那你需要在主DNS配置文件中定義相應的主DNS區域,運局悶臘中並編輯主DNS的正向區域文件和主DNS反向區域文件!
D. 我用linux的openssl自建CA並簽發證書,自建的CA在windows下顯示不能頒發證書!!如圖:
證書導入必須出現導入證書機構代碼、才能正常使用
E. LINUX是什麼
Linux是一套免費使用和自由傳播的類Unix操作系統,是一個基於POSIX和Unix的多用戶、多任務、支持多線程和多CPU的操作系統。伴隨著互聯網的發展,Linux得到了來自全世界軟體愛好者、組織、公司的支持。它除了在伺服器操作系統方面保持著強勁的發展勢頭以外,在個人電腦、嵌入式系統上都有著長足的進步。使用者不僅可以直觀地獲取該操作系統的實現機制,而且可以根據自身的需要來修改完善這個操作系統,使其最大化地適應用戶的需要。
Linux不僅系統性能穩定,而且是開源軟體。其核心防火牆組件性能高效、配置簡單,保證了系統的安全。在很多企業網路中,為了追求速度和安全,Linux操作系統不僅僅是被網路運維人員當作伺服器使用,Linux既可以當作伺服器,又可以當作網路防火牆是Linux的 一大亮點。
Linux與其他操作系統相比 ,具有開放源碼、沒有版權、技術社區用戶多等特點 ,開放源碼使得用戶可以自由裁剪,靈活性高,功能強大,成本低。尤其系統中內嵌網路協議棧 ,經過適當的配置就可實現路由器的功能。這些特點使得Linux成為開發路由交換設備的理想開發平台。
而且Linux前景好、待遇高、就業范圍多,非常適合零基礎人員學習,如果你想要學習的話,我感覺這里還不錯。
F. linux系統分為哪幾類
第一類:root(超級管理員),UID為0,這個用戶有極大的許可權,可以直接無視很多的限制,包括讀寫執行的許可權。
第二類:系統用戶,UID為1~499。一般是不會被登入的。
第三類就是普通用戶,UID范圍一般是500~65534。這類用戶的許可權會受到基本許可權的限制,也會受到來自管理員的限制。不過要注意nobody這個特殊的帳號,UID為65534,這個用戶的許可權會進一步的受到限制,一般用於實現來賓帳號。
當前市面上流行的Linux系統主要分為Readhat和Debian兩大系列,而android底層直接用linux原版內核。
一、Redhat系列
Redhat:主要是伺服器型Linux,商用收費;RHEL是Red Hat Enterprise Linux的縮寫。
CentOS:Redhat的100%復製版本,不收版權費用。
二、Debian系列
Debian:主要是桌面型Linux,代表為Ubuntu。這只是簡單的概括,專更詳細的分類總結及Linux知識介紹和應用可以看看相屬關書籍及資料,推薦一本Linux書籍《Linux就該這么學》。
CentOS:可靠的伺服器發行版。是一個重新編譯可安裝的Red Hat Enterprise Linux(RHEL)代碼,並提供及時的安全更新的所有套裝軟體升級為目標的社區項目。目前很多互聯網企業在用的發行版本。
Red Hat(紅帽):培訓、學習、應用、知名度比較高的Linux發行版本。對硬體兼容性來說也比較不錯,版本更新很快,對新硬體和新技術支持較好。Red Hat的開放源碼模式提供跨物理、虛擬和雲端環境的企業運算解決方案,以幫助企業降低成本並提升效能、穩定性與安全性。
Ubuntu:流行的桌面Linux發行版。朝著發展一種「易用和免費」的桌面操作系統做出了極大的努力和貢獻,能夠與市場上任何一款個人操作系統相競爭。Ubuntu的優勢是固定的發布周期和支持期限、易於初學者學習、具有豐富的文檔。
SUSE:擁有讓用戶滿意的漂亮的桌面環境,優秀的系統 管理工具,同時為那些購買盒裝版的用戶提供最好的印刷品與任何可用的文檔。
Debian:優勢是非常穩定、擁有卓越的質量控制、超過20,000數量的軟體、比任何其他的Linux發行支持更多的處理器架構。
G. kali linux怎麼安裝ca證書
以前在虛擬機中安裝過BackTrack 3 R5特別喜歡BT的風格,也很喜歡BT強大的功能,所以看到BT後面的版本變為Kali後就直接動手安裝了,不過馬上要換電腦了,而且電腦上已經有兩個系統了,不喜歡用虛擬機,所以這次想安裝到移動硬碟和U盤,這樣以後也容易在新電腦上使用,網上查了好多資料,失敗了好多次,終於成功,特寫下過程做個記錄,也為想安裝到移動硬碟和U盤的朋友提供個教程。有什麼問題下面留言回復,我看到會盡量解決。
OK,廢話不多說,開始
我用U盤刻錄然後U盤啟動的方法試了好幾次,圖形安裝和live盤安裝都試了,在最後一步安裝grub引導時會失敗,用虛擬機的方法安裝成功了,我是用虛擬機的方法安裝到移動硬碟和U盤並不是虛擬機裡面的系統。用到的虛擬機是VMware Workstation 9。
首先在Kali官網上下載Kali鏡像,有amd64位和i386兩種版本,即64位和32位,還有兩種是ARM的,是在嵌入式設備上使用的,忽略
附上下載鏈接:鏡像官網下載地址
打開鏈接後如下圖所示,選擇你需要的版本,我下載的amd64的,下載後的是一個種子文件,用迅雷打開就會下載鏡像了
正式安裝過程
一、配置VMware環境
1.打開VMware Workstation,新建一個虛擬機
2.選擇典型(這里其實選擇哪個都一樣)點下一步
3.選擇第二項,然後點擊Browse按鈕選擇你下載的鏡像點擊下一步
4.選擇Linux在Version中選擇Debian 64位,因為Kali是基於Debian的,選擇最新版本,點下一步,我這里最新版本為Debian 6
5.隨便起個名字,選擇你存放虛擬文件的目錄,這個目錄跟你安裝在哪沒關系,最好不要選擇你要安裝的移動硬碟或者U盤,就選擇本機磁碟下某個目錄
6.設置磁碟空間,這個跟你安裝好的系統沒關系,保持默認的20就好,選擇第二項Split virtual disk as multiple files點擊next,然後點擊完成。
二、安裝Kali到移動硬碟和U盤
1.准備工作:在桌面我的電腦——右鍵——管理——服務和應用程序——服務,確保這五個服務是開啟的
2.打開虛擬機電源,進入Kali的啟動窗口,將移動硬碟或者U盤連接到虛擬機,在右下角有一個磁碟的圖標,點擊一下然後選擇Connect
3.按下方向鍵選擇Graphical Install在Install下面,等待啟動圖形安裝界面
4.選擇中文
5.提示語言翻譯不完全,是否繼續,選擇是,繼續
6.選擇中國,繼續,選擇漢語,繼續
7,開始掛載光碟以及載入安裝程序組件,然後探測網路設備,配置網路,稍等一會,然後會提示你輸入一個用戶名,隨便起,再接著配置網路要輸入一個域名,也隨便填,比如www.kali.com,繼續
8.設置一個Root密碼,設置簡單一點
9.開始探測磁碟分區,選擇第一項,使用整個磁碟(這里提示一點,你提前需要將磁碟分區,比如移動硬碟,你可以用分區工具或者windows自帶的磁碟管理壓縮出一個空白卷,比如我壓縮了40G,不要設置驅動盤符,這塊區域在你的windows上是顯示不出來的,U盤也一樣,如果你不想整個U盤都被裝系統,提前分成兩個區,一個裝系統,一個用來和普通U盤一樣)
10.然後會顯示你的磁碟分區狀況,會有一個你之前設置的虛擬磁碟和你的移動硬碟(U盤),虛擬磁碟後面顯示的是VMware Virtual,如下圖
如上圖,這是我的U盤分了兩個區(我已經在移動硬碟裝好了),一個21G,一個10G,我的U盤是32G的,還有一個虛擬磁碟,如果你的這一步顯示的是下圖這樣
也就是說沒有你的移動硬碟,你就點擊返回再點擊返回直到這個界面
然後雙擊探測鍵盤,或者選擇探測鍵盤再點擊繼續,重新探測一次,如果還是不行,就看看你連接是否有問題或者是否分區有問題
11.雙擊你要安裝的分區,如上圖,我要安裝在21G那個分區(這里說明一下,由於是圖形化安裝,可以使用滑鼠雙擊的方式或者按鍵選擇然後點繼續,都可以)
雙擊第一項(用於),選擇Ext4日誌文件系統,雙擊掛載點選擇根目錄(/),雙擊分區設定結束
12.接著選擇最後一項,分區設定結束並將修改寫入磁碟,點擊繼續,然後提示沒有交換空間,是否返回分區菜單,(在這里說明一下如果是移動硬碟可能會有一個1G左右的分區用於交換分區,如果有的話跟上面的配置方法一樣,雙擊選擇用於交換分區,掛載到swap)以現在的技術有沒有交換空間都無所謂,所以選擇否,即不返回,繼續往下進行,然後提示是否將改動寫入磁碟,選擇是,繼續
13.現在就基本完成了,開始安裝系統,根據電腦配置時間不一樣,我用了近四十分鍾
14.然後提示是否使用網路鏡像,選擇是(網上有人說要選擇否,但是根據他的提示我選擇的是,也不影響,沒什麼區別目前看來)
選擇是之後會彈出配置軟體包管理器的頁面,直接跳過,如果你要配置代理,你可以在這里配置,我選的繼續,然後提示你沒有網路鏡像,是否繼續安裝,選擇是等待下載14個文件完成,然後彈出提示是否安裝grub引導到硬碟,選擇是,到此安裝結束,結束後選擇是會自動重啟,不過不會從移動硬碟或U盤重啟,所以等安裝完成後,關機選擇U盤啟動就會啟動你的U盤或移動硬碟上的系統了
H. Linux PKI和CA技術
PKI (Public Key Infrastructure )公開密鑰基礎設施,是利用公開密鑰技術所構建的,解決網路安全問題的,普遍適用的一種基礎設施; 是一種遵循既定標準的密鑰管理平台,它能夠為所有網路應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。
PKI既不是一個協議,也不是一個軟體,它是一個標准,在這個標准之下發展出的為了實現安全基礎服務目的的技術統稱為PKI。PKI通過傳播數字證書來保證安全,於是認輪沖證中心CA就變成了PKI的核心。
認證中心CA(Certificate Authority) 是一個負責發放和管理數字證書的第三方權威機構,它負責管理PKI結構下的所有用戶(包括各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上驗證用戶的身份。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。
認證中心主要有仿桐襲以下5個功能:
證書的頒發:接收、驗證用戶(包括下級認證中心和最終用戶)的數字證書的申請。可以受理或拒絕
證書的更新:認證中心可以定期更新所有用戶的證書,或者根據用戶的請求來更新用戶的證書
證書的查詢:查詢當前用戶證書申請處理過程;查詢用戶證書的頒發信息,這類查詢由目錄伺服器ldap來完成
證書的作廢:由於用戶私鑰泄密等原因,需要向認證中心提出證書作廢的請求;證書已經過了有效期,認證中心自動將該證書作廢。認證中心通過維護證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。
證書的歸檔:證書具有一定的有效期,證書過了有效期之後就將作廢,但是我們不能將作廢的證書簡單地丟棄,因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名,這時我們就需要查詢作廢的證書。
PKI的標准規定了PKI的設計、實施和運營,規定了PKI各種角色的」游戲規則」,提供數據語法和語義的共同約定。PKI體系中有很多SSL證書格式標准。
其中最為人熟知的有x.509和PKCS#12(pfx, p12為證書後綴)
1. 證書版本號(Version)
版本號指明X.509證書的格式版本,現在的值可以為: 0:v1, 1:v2, 2:v3
2. 證書序列號(Serial Number)
序列號指定由CA分配給證書的唯一的"數字型標識符"。當證書被取消時,實際上是將此證書的序列號放入由CA簽發的證書廢除列表CRL(Certificate revocation lists 證書黑名單)中,
3. 簽名演算法標識符(Signature Algorithm)
簽名演算法標識用來指定由CA簽發證書時所使用的"簽名演算法"。演算法標識符用來指定CA簽發證書時所使用的公開密鑰演算法或hash演算法
4. 簽發機構名(Issuer)
此域用來標識簽發證書的CA的X.500DN(DN-Distinguished Name)名字。包括:
1) 國家(C) 2) 省市(ST) 3) 地區(L) 4) 組織機構(O) 5) 單位部門(OU) 6) 通用名(CN) 7) 郵箱地址
5. 有效期(Validity)
指定證書的有效期,包括:
1) 證書開始生效的日期時間 2) 證書失效的日期和時間
每次使用證書時,需要檢查證書是否在有效期內。
6. 證書用戶名(Subject)
指定證書持有者的X.500唯一名字。包括:
同簽發機備兄構名(Issuer)中的條目
7. 證書持有者公開密鑰信息(Subject Public KeyInfo)
證書持有者公開密鑰信息域包含兩個重要信息:
1) 證書持有者的公開密鑰的值 2) 公開密鑰使用的演算法標識符。此標識符包含公開密鑰演算法和hash演算法。
8. 擴展項(extension)
X.509V3證書是在v2的基礎上一標准形式或普通形式增加了擴展項,以使證書能夠附帶額外信息。
9. 簽發者唯一標識符(Issuer Unique Identifier)
簽發者唯一標識符在第2版加入證書定義中。此域用在當同一個X.500名字用於多個認證機構時,用一比特字元串來唯一標識簽發者的X.500名字。可選。
10. 證書持有者唯一標識符(Subject Unique Identifier)
持有證書者唯一標識符在第2版的標准中加入X.509證書定義。此域用在當同一個X.500名字用於多個證書持有者時,用一比特字元串來唯一標識證書持有者的X.500名字。可選。
11. 簽名演算法(Signature Algorithm)
證書簽發機構對證書上述內容的簽名演算法
12. 簽名值(Issuer's Signature)
證書簽發機構對證書上述內容的簽名值
證書案例
I. 【安全】CA證書小記續
【 寫在前面 】
早上去和老大解釋了一通自己的理解,信心滿滿的去找服務端溝通去了,哪知自己理解的有偏差,在服務端小夥伴的幫助下終於又理清楚了一些。我知道來對了地方。
【 HOW - SSL證書怎麼得到的 】
上一篇我們說到服務端有一個證書叫SSL證書,業界一般叫服務端證書(一般記做server.crt),那麼這個server.crt證書是怎麼得到的呢?請看下面的流程圖:
備註:
由於 ca.key(CA機構私鑰) 和 ca.crt(根證書) 是一對, 於是 ca.crt 可以解密 server.crt。
【 WHAT- 單向和雙向認證 】
1.單向認證就是我們上一篇中提到的【HOW-CA證書是怎麼運行的】,這是一個典型的單向認證,即客戶端來校驗服務端的證書信息,服務端不校驗客戶端信息,所以此種情況下,客戶端需要有根證書,即ca.crt,服務端需要有server.crt(服務端證書)和server.key(私鑰)。這個地方我之前理解server.crt時就錯誤了,我理解的server.crt依附於根證書,受根證書的有效期影響,但是通過上面server.crt的來源分析,我們知道server.crt只是CA機構簽發的,簽發後和根證書就沒有關系了(當然,CA機構注銷等除外),所以服務端有的只是server.crt這個證書。
2.雙向認證,即客戶端和服務端互相驗證對方的證書合法性,那這個時候兩方都應該有類似的文件,即:
server 需要 server.key 、server.crt 、ca.crt
client 需要 client.key 、client.crt 、ca.crt
雙向認證的流程只是在客戶端校驗完成服務端證書後,再想服務端發送自己的證書信息,服務端來完成一次單向認證,這樣就完成了一次雙向認證。
【 WHAT - 證書格式 】
.crt 表示證書, .key表示私鑰, .req 表示請求文件,.csr也表示請求文件, .pem表示pem格式
其中windows平台下的證書後綴是.pem,而linux平台的證書後綴是.crt
參考資料: https://blog.csdn.net/ustccw/article/details/76691248
J. linux 「命令行自動補全」功能用命令行怎麼寫
按Tab鍵,左上角ESC的下面兩個,如果當前目錄只有一項,只需要直接Tab,如果有多項,輸入前面不同的部分再Tab。解決方法如下:
1、首先打開LINUX的操作系統,在左邊任務欄裡面找到終端,滑鼠左鍵點擊打開終端命令窗口。