linuxca证书

A. CA证书与DHCP服务

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out ca.key 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key ca.key -outca.crt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out server.key 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key server.key -out server.csr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS.1=abc.com

DNS.2=*.abc.com

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile http.ext -inserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

7 ：最终会得到一下几个文件

ca.crt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

ca.key: ca证书的密钥

server.key: 服务器密钥，需要配置的

server.csr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

server.crt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 192.168.1.8 -p 2222

-b

指定连接的源IP

ssh 192.168.1.8 -p 2222 -b 192.168.1.88

-v

调试模式

ssh 192.168.1.8 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/.ssh/id_dsa,

~/.ssh/id_ecdsa,/.ssh/id_ed25519

，/.ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查.ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yum.repos.d/CentOS-*<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpd.conf

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benet.com";<!--指定默认搜索域-->

option domain-name-servers 202.106.0.10, 202.106.0.20; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpd.conf文件的配置构成

在主配置文件dhcpd.conf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcod.conf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolv.conf配置文件中，如“search benet.com”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolv.conf配置文件中，如“nameserver 202.106.0.20”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为192.168.100.0/24网段提供服务，用于自动分配的IP地址范围为192.168.100。100~192.168.100.200，为客户机指定默认网关地址为192.168.100.254，则ke可以修改dhcpd.conf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--编辑主配置文件-->

subnet 192.168.100.0 netmask 255.255.255.0 {<!--声明网段地址-->

range 192.168.100.100 192.168.100.200;<!--设置地址池，可以有多个-->

option routers 192.168.100.254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192.168.100.101，可以修改dhcpd.conf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192.168.100.101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为192.168.100.10，用于为网段192。168.100.0/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpd.service，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0.0.0.0:67              0.0.0.0:*                          2102/dhcpd         

udp        0      0 0.0.0.0:67              0.0.0.0:*                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 4.2.5

Copyright 2004-2013 Internet Systems Consortium.

All rights reserved.

For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255.255.255.255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 192.168.100.10<!--DHCP提供-->

DHCPACK from 192.168.100.10 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192.168.100.102 -- renewal in 229 seconds.

............<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

B. 如何搭建证书颁发机构CA在LINUX系统下

http://www.openca.org/ openca给出了一个完整的CA解决方案，lz可以移步去研究下

C. 【安全】CA证书小记续

【 写在前面 】

    早上去和老大解释了一通自己的理解，信心满满的去找服务端沟通去了，哪知自己理解的有偏差，在服务端小伙伴的帮助下终于又理清楚了一些。我知道来对了地方。

【 HOW - SSL证书怎么得到的 】

    上一篇我们说到服务端有一个证书叫SSL证书，业界一般叫服务端证书(一般记做server.crt)，那么这个server.crt证书是怎么得到的呢？请看下面的流程图：

备注：
    由于 ca.key(CA机构私钥) 和 ca.crt(根证书) 是一对, 于是 ca.crt 可以解密 server.crt。

【 WHAT- 单向和双向认证 】

    1.单向认证就是我们上一篇中提到的【HOW-CA证书是怎么运行的】，这是一个典型的单向认证，即客户端来校验服务端的证书信息，服务端不校验客户端信息，所以此种情况下，客户端需要有根证书，即ca.crt，服务端需要有server.crt(服务端证书)和server.key(私钥)。这个地方我之前理解server.crt时就错误了，我理解的server.crt依附于根证书，受根证书的有效期影响，但是通过上面server.crt的来源分析，我们知道server.crt只是CA机构签发的，签发后和根证书就没有关系了(当然，CA机构注销等除外)，所以服务端有的只是server.crt这个证书。

    2.双向认证，即客户端和服务端互相验证对方的证书合法性，那这个时候两方都应该有类似的文件，即：
server 需要 server.key 、server.crt 、ca.crt
client 需要 client.key 、client.crt 、ca.crt

    双向认证的流程只是在客户端校验完成服务端证书后，再想服务端发送自己的证书信息，服务端来完成一次单向认证，这样就完成了一次双向认证。

【 WHAT - 证书格式 】

    .crt 表示证书, .key表示私钥, .req 表示请求文件,.csr也表示请求文件, .pem表示pem格式
其中windows平台下的证书后缀是.pem，而linux平台的证书后缀是.crt

参考资料： https://blog.csdn.net/ustccw/article/details/76691248

D. Linux Centos 怎么安装更新根证书实现支持https访问

1. 使用最小化安装盘安装系统,设置好网络环境配置信息
2. 安装所需工具包
# yum install openssh-server
# yum install wget
# yum update
# yum install setuptool
系统服务配置 # yum install ntsysv
安装网络配置 # yum install system-config-network-tui
防火墙配置 # yum install system-config-firewall
# yum -y install gcc gcc-c++ autoconf make
# yum -y install vim
关机备份 # shutdown -h now

二、安装openssl
切换到/tmp目录下(安装约定软件全放在此目录下)
cd /tmp
# tar zxvf openssl-1.0.0a.tar.gz
# cd openssl-1.0.0a
# ./config --prefix=/usr/local/openssl
# make && make install

三、创建证书
1.解压工具包
# tar zxvf ssl.ca-0.1.tar.gz
# cd ssl.ca-0.1
2.创建根证书
# ./new-root-ca.sh
No Root CA key round. Generating one
Generating RSA private key, 1024 bit long molus
....++++++
...................++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
Self-sign the root CA...
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [MY]:cn
State or Province Name (full name) [Perak]:cn
Locality Name (eg, city) [Sitiawan]:cn
Organization Name (eg, company) [My Directory Sdn Bhd]:cn
Organizational Unit Name (eg, section) [Certification Services Division]:cn
Common Name (eg, MD Root CA) []:172.16.17.132 //这里填站点域名，我是测试的就填ip
Email Address []:[email protected]
这个过程要设置证书密码，要记住这个密码后面要用到，还有证书的其它信息：国家、地区、公司名称，域名，邮箱等，这些信息也要记住，与后面创建的证书主体信息一致
3.创建服务器证书
# ./new-server-cert.sh server
...
即创建一个名为server的服务器证书，主体信息与上面的一致就可，我这里就不贴出来了
签名刚才生成的服务器证书
# ./sign-server-cert.sh server
这个过程要输入根证书密码，后面都选Y即可
4.创建客户端证书，如果是单向认证，这一步可以跳过
# ./new-user-cert.sh client
...
这里要注意证书信息不能与其它证书完全一样，这里修改Email与服务器证书不一样就行
签名客户端证书
# ./sign-user-cert.sh client
转换成p12格式证书，这样才能在浏览器上安装
# ./p12.sh client
下载并安装client.p12证书
关机备份 # shutdown -h now
三、安装Apache及其所需依赖软件
# tar zxvf httpd-2.2.23.tar.gz
# cd httpd-2.2.23
# ./configure --prefix=/usr/local/apache \
--enable-ssl \
--enable-rewrite \
--enable-so \
--with-ssl=/usr/local/openssl
# make && make install
可以启动httpd看看，启动命令是/usr/local/apache/bin/apachectl start,在浏览器中访问看看，显示 It workds!说明安装成功了

四、配置httpd
1.修改httpd.conf
#Include conf/extra/httpd-ssl.conf 把这句前面的#去掉
2.将前面生成的证书拷贝到conf/ssl 下
# mkdir ssl
# cd ssl
# cp /tmp/ssl.ca-0.1/ca.crt ./
# cp /tmp/ssl.ca-0.1/server.* ./
2.修改httpd-ssl.conf
SSLCertificateFile “/usr/local/apache/conf/ssl/server.crt”
SSLCertificateKeyFile “/usr/local/apache/conf/ssl/server.key”
下面是开启客户端认证，如果是单向认证就不用开启了
SSLCACertificateFile “/usr/local/apache/conf/ssl/ca.crt”
SSLVerifyClient require
SSLVerifyDepth 10

五、重启httpd
[root@localhost extra]# ../../bin/apachectl -t
Syntax OK
[root@localhost extra]# ../../bin/apachectl stop
[root@localhost extra]# ../../bin/apachectl -D SSL -k start

六、安装并配置Mysql
1、安装Mysql
添加一个mysql标准组
# groupadd mysql
添加mysql用户并加到mysql组中
# useradd -g mysql mysql
# tar zxvf mysql-5.0.45.tar.gz
# cd mysql-5.0.45
# ./configure \
--prefix=/usr/local/mysql/ \
--with-extra-charsets=all
出现错误：
checking for tgetent in -lncurses... no
checking for tgetent in -lcurses... no
checking for tgetent in -ltermcap... no
checking for tgetent in -ltinfo... no
checking for termcap functions library... configure: error: No curses/termcap library found
分析：缺少ncurses安装包
解决：
# yum install ncurses-devel
# make && make install
2、配置Mysql
创建MySQL数据库服务器的配置文件
# cp support-files/my-medium.cnf /etc/my.cnf
用mysql用户创建授权表，创建成功后，会在/usr/local/mysql目录下生成一个var目录
# /usr/local/mysql/bin/mysql_install_db --user=mysql
将文件的所有属性改为root用户
# chown -R root /usr/local/mysql
将数据目录的所有属性改为mysql用户
# chown -R mysql /usr/local/mysql/var
将组属性改为mysql组
# chgrp -R mysql /usr/local/mysql
启动数据库
# /usr/local/mysql/bin/mysqld_safe --user=mysql &
查看3306端口是否开启
# netstat -tnl|grep 3306
简单的测试
# /usr/local/mysql/bin/mysqladmin version
查看所有mysql参数
# /usr/local/mysql/bin/mysqladmin variables
设置Mysql开机自启动
# cp /tmp/mysql-5.0.45/support-files/mysql.server /etc/rc.d/init.d/mysqld
# chown root.root /etc/rc.d/init.d/mysqld
# chmod 755 /etc/rc.d/init.d/mysqld
# chkconfig --add mysqld
# chkconfig --list mysqld
# chkconfig --levels 245 mysqld off
3、Mysql安全性设置
没有密码可以直接登录本机服务器
# /usr/local/mysql/bin/mysql -u root
查看mysql用户权限信息
mysql> select * from mysql.user;
删除非localhost的主机
mysql> DELETE FROM mysql.user WHERE Host='localhost' AND User='';
刷新授权表
mysql> FLUSH PRIVILEGES;
为root用户添加密码
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('yuwan1986');
再次进入Mysql客户端
# /usr/local/mysql/bin/mysql -u root -h localhost -p
关闭MySQL数据库
# /usr/local/mysql/bin/mysqladmin -u root -p shutdown

七、 安装和配置php
# tar zxvf php-5.2.6.tar.gz
# cd /tmp/php-5.2.6
# ./configure \
--prefix=/usr/local/php \
--with-config-file-path=/usr/local/php/etc \
--with-apxs2=/usr/local/apache/bin/apxs \
--with-mysql=/usr/local/mysql/
# make && make install
出现依赖错误，直接使用yum安装即可
# yum -y install libxml2 libxml2-devel
简单配置PHP
cp ./php.ini-dist /usr/local/php/etc/php.ini
使用vi编辑apache配置文件
# vim /usr/local/apache/conf/httpd.conf
添加这一条代码
Addtype application/x-httpd-php .php .phtml
重启Apache
# /usr/local/apache/bin/apachectl restart
简单测试一下对PHP的支持

八、安装安装phpMyAdmin
1. 拷贝目录到指定位置并改名为phpmyadmin
# tar zxvf phpMyAdmin-3.3.4-all-languages.tar.gz
# cp -a phpMyAdmin-3.3.4-all-languages /usr/local/apache/htdocs/phpmyadmin
# cd /usr/local/apache/htdocs/phpmyadmin/
# cp config.sample.inc.php config.inc.php
2. 配置phpMyAdmin
# vim /usr/local/apache/htdocs/phpmyadmin/config.inc.php
将auth_type 改为http
$cfg['Servers'][$i]['auth_type'] = 'http';
最后设置开机启动项：
编辑开机启动文件# vim /etc/rc.d/rc.local添加
service mysqld start
/usr/local/apache/bin/apachectl -D SSL -k start
至此简单配置完成，可以安装到服务器上了

E. 我用linux的openssl自建CA并签发证书，自建的CA在windows下显示不能颁发证书！！如图:

证书导入必须出现导入证书机构代码、才能正常使用

F. linux创建CA证书服务器后怎么通过web服务器来管理

图省事就是用windows好啦。

G. 如何在linux下安装ssl证书

一、创建Azure Key Vault
创建Key Vault和Linux安装SSL之前，大家需要先使用az group create来创建资源。比如创建名为“myResourceGroupSecureWeb”的资源组，需要先复制Azure CLI到对应文件夹中，然后再使用az keyvault create创建Key Vault，并在部署VM时启用该Key Vault。
每一个Key Vault都需要具备唯一的名称，而且全部都是小写字母，然后将名称替换为自己唯一的Key Vault名称，生成证书并存储在Key Vault中。为了让网站SSL安全使用使用，大家需要在Linux安装SSL导入时由受信任的程序提供签名才算是有效证书。
二、准备用于VM的证书
若要在VM创建过程中使用上述证书，大家需要使用az keyvault secret list-versions获取证书的唯一ID，然后再通过az vm format-secret转换该证书。具体操作为创建cloud-init配置以保护NGINX，在首次启动VM时对其进行自定义，再通过cloud-init来安装程序包和写入文件，或者配置用户和安全性。
除了在Linux安装证书初始启动期间要运行cloud-init外，无需在进行其他的步骤和代理。创建VM、安装程序包和启动应用需耗时几分钟。创建后测试一下Web应用是否安全，Linux的ssl证书安装如果使用的是自签名的安全证书，网页会有安全警告，提示用户存在不安全因素。
Linux的ssl证书安装相对于其他系统来讲，比较简单。不过需要注意的是，Linux安装证书对国内和国外的网络环境有一定的设置要求，如果没有及时更改，会造成SSL证书配置失败。

H. 在linux中ca证书服务器的搭建，实现双因子认证

可在Linux环境搭建OpenCA，或其他CA。客户端是否也需要在Linux环境？一般客户端通过BS方式访问CA服务网页，做证书申请。Key有了数字证书，如果做认证，那就是应用的事情了。

I. Linux下生成能用的SSL证书的步骤

我们首先要设置 openssl 的全局配置文件
在debian下他的配置文件在 /usr/lib/ssl/openssl.cnf

需要修改的内容：
具体怎么改可以自己决定

在CA目录下创建两个初始文件：

为了安全起见，修改cakey.pem私钥文件权限为600或400，也可以使用子shell生成( umask 077; openssl genrsa -out private/cakey.pem 2048 )，下面不再重复。

使用req命令生成自签证书：

然后会有提示，之后再出现也是这样填，不再重复

以上都是在CA服务器上做的操作，而且只需进行一次，现在转到nginx服务器上执行：

这里测试的时候CA中心与要申请证书的服务器是同一个。

另外在极少数情况下，上面的命令生成的证书不能识别，试试下面的命令：

上面签发过程其实默认使用了-cert cacert.pem -keyfile cakey.pem，这两个文件就是前两步生成的位于/etc/pki/CA下的根密钥和根证书。将生成的crt证书发回nginx服务器使用。

到此我们已经拥有了建立ssl安全连接所需要的所有文件，并且服务器的crt和key都位于配置的目录下，剩下的是如何使用证书的问题。

因为这是个人生成的证书，浏览器第一次可能会报错，只要添加信任之后就可以正常使用了！

J. kali linux怎么安装ca证书

以前在虚拟机中安装过BackTrack 3 R5特别喜欢BT的风格，也很喜欢BT强大的功能，所以看到BT后面的版本变为Kali后就直接动手安装了，不过马上要换电脑了，而且电脑上已经有两个系统了，不喜欢用虚拟机，所以这次想安装到移动硬盘和U盘，这样以后也容易在新电脑上使用，网上查了好多资料，失败了好多次，终于成功，特写下过程做个记录，也为想安装到移动硬盘和U盘的朋友提供个教程。有什么问题下面留言回复，我看到会尽量解决。
OK，废话不多说，开始
我用U盘刻录然后U盘启动的方法试了好几次，图形安装和live盘安装都试了，在最后一步安装grub引导时会失败，用虚拟机的方法安装成功了，我是用虚拟机的方法安装到移动硬盘和U盘并不是虚拟机里面的系统。用到的虚拟机是VMware Workstation 9。
首先在Kali官网上下载Kali镜像，有amd64位和i386两种版本，即64位和32位，还有两种是ARM的，是在嵌入式设备上使用的，忽略
附上下载链接：镜像官网下载地址
打开链接后如下图所示，选择你需要的版本，我下载的amd64的，下载后的是一个种子文件，用迅雷打开就会下载镜像了

正式安装过程
一、配置VMware环境
1.打开VMware Workstation，新建一个虚拟机

2.选择典型（这里其实选择哪个都一样）点下一步

3.选择第二项，然后点击Browse按钮选择你下载的镜像点击下一步

4.选择Linux在Version中选择Debian 64位，因为Kali是基于Debian的，选择最新版本，点下一步，我这里最新版本为Debian 6

5.随便起个名字，选择你存放虚拟文件的目录，这个目录跟你安装在哪没关系，最好不要选择你要安装的移动硬盘或者U盘，就选择本机磁盘下某个目录

6.设置磁盘空间，这个跟你安装好的系统没关系，保持默认的20就好，选择第二项Split virtual disk as multiple files点击next，然后点击完成。

二、安装Kali到移动硬盘和U盘
1.准备工作：在桌面我的电脑——右键——管理——服务和应用程序——服务，确保这五个服务是开启的

2.打开虚拟机电源，进入Kali的启动窗口，将移动硬盘或者U盘连接到虚拟机，在右下角有一个磁盘的图标，点击一下然后选择Connect

3.按下方向键选择Graphical Install在Install下面，等待启动图形安装界面

4.选择中文

5.提示语言翻译不完全，是否继续，选择是，继续

6.选择中国，继续，选择汉语，继续

7，开始挂载光盘以及加载安装程序组件，然后探测网络设备，配置网络，稍等一会，然后会提示你输入一个用户名，随便起，再接着配置网络要输入一个域名，也随便填，比如www.kali.com，继续

8.设置一个Root密码，设置简单一点

9.开始探测磁盘分区，选择第一项，使用整个磁盘（这里提示一点，你提前需要将磁盘分区，比如移动硬盘，你可以用分区工具或者windows自带的磁盘管理压缩出一个空白卷，比如我压缩了40G，不要设置驱动盘符，这块区域在你的windows上是显示不出来的，U盘也一样，如果你不想整个U盘都被装系统，提前分成两个区，一个装系统，一个用来和普通U盘一样）

10.然后会显示你的磁盘分区状况，会有一个你之前设置的虚拟磁盘和你的移动硬盘（U盘），虚拟磁盘后面显示的是VMware Virtual，如下图

如上图，这是我的U盘分了两个区（我已经在移动硬盘装好了），一个21G，一个10G，我的U盘是32G的，还有一个虚拟磁盘，如果你的这一步显示的是下图这样

也就是说没有你的移动硬盘，你就点击返回再点击返回直到这个界面

然后双击探测键盘，或者选择探测键盘再点击继续，重新探测一次，如果还是不行，就看看你连接是否有问题或者是否分区有问题

11.双击你要安装的分区，如上图，我要安装在21G那个分区（这里说明一下，由于是图形化安装，可以使用鼠标双击的方式或者按键选择然后点继续，都可以）

双击第一项（用于），选择Ext4日志文件系统，双击挂载点选择根目录（/），双击分区设定结束

12.接着选择最后一项，分区设定结束并将修改写入磁盘，点击继续，然后提示没有交换空间，是否返回分区菜单，（在这里说明一下如果是移动硬盘可能会有一个1G左右的分区用于交换分区，如果有的话跟上面的配置方法一样，双击选择用于交换分区，挂载到swap）以现在的技术有没有交换空间都无所谓，所以选择否，即不返回，继续往下进行，然后提示是否将改动写入磁盘，选择是，继续

13.现在就基本完成了，开始安装系统，根据电脑配置时间不一样，我用了近四十分钟

14.然后提示是否使用网络镜像，选择是（网上有人说要选择否，但是根据他的提示我选择的是，也不影响，没什么区别目前看来）

选择是之后会弹出配置软件包管理器的页面，直接跳过，如果你要配置代理，你可以在这里配置，我选的继续，然后提示你没有网络镜像，是否继续安装，选择是等待下载14个文件完成，然后弹出提示是否安装grub引导到硬盘，选择是，到此安装结束，结束后选择是会自动重启，不过不会从移动硬盘或U盘重启，所以等安装完成后，关机选择U盘启动就会启动你的U盘或移动硬盘上的系统了