linuxca
A. 如何在linux里为ca生成一个私钥
[root@apache ~]# yum install openssl
生成证书文件
创建一个rsa私钥,文件名为server.key
[root@apache ssl]# openssl genrsa -out server.key 1024
Generating RSA private key, 1024 bit long molus
…………++++++
…………++++++
e is 65537 (0x10001)
用 server.key 生成证书签署请求 CSR
openssl req -new -key server.key -out server.csr
Country Name:两个字母的国家代号
State or Province Name:省份名称
Locality Name:城市名称
Organization Name:公司名称
Organizational Unit Name:部门名称
Common Name:你的姓名
Email Address:地址
至于 ‘extra’ attributes 不用输入.直接回车
生成证书CRT文件server.crt。
[root@apache ssl]# openssl x509 -days 365 -req -in server.csr -signkey server.key -out server.crt
B. linux常见的应用分哪两个方面
1、Linux继承了Unix的特性,具有非常强大的网络功能,其支持所有的因特网协议,包括TCP/IPv4、TCP/IPv6和链路层拓扑程序等,且可以利用Unix的网络特性开发出新的协议栈。
2、Linux系统工具链完整,简单操作就可以配置出合适的开发环境,可以简化开发过程,减拿余少开发中仿真工具的障碍,使系统具有较强的移植性。
(2)linuxca扩展阅读
Linux一开始是要求所有的源码必须公开,并且任何人均不得从Linux交易中神敏穗获利。然而这种纯粹的自由软件的理想对于Linux的普及和发展是不利的,于是Linux开始转向GPL,成为GNU阵营中的主要一员。
Linux凭借优秀的设游卜计,不凡的性能,加上IBM、INTEL、CA、CORE、ORACLE等国际知名企业的大力支持,市场份额逐步扩大,逐渐成为主流操作系统之一。
C. linux named.ca 有 SOA
多检查一下,配置文件一般在/etc/named.com 数据文旁弯件一般在/var/named ,需要配置其他的DNS解析的话,那你需要在主DNS配置文件中定义相应的主DNS区域,运局闷腊中并编辑主DNS的正向区域文件和主DNS反向区域文件!
D. 我用linux的openssl自建CA并签发证书,自建的CA在windows下显示不能颁发证书!!如图:
证书导入必须出现导入证书机构代码、才能正常使用
E. LINUX是什么
Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统。伴随着互联网的发展,Linux得到了来自全世界软件爱好者、组织、公司的支持。它除了在服务器操作系统方面保持着强劲的发展势头以外,在个人电脑、嵌入式系统上都有着长足的进步。使用者不仅可以直观地获取该操作系统的实现机制,而且可以根据自身的需要来修改完善这个操作系统,使其最大化地适应用户的需要。
Linux不仅系统性能稳定,而且是开源软件。其核心防火墙组件性能高效、配置简单,保证了系统的安全。在很多企业网络中,为了追求速度和安全,Linux操作系统不仅仅是被网络运维人员当作服务器使用,Linux既可以当作服务器,又可以当作网络防火墙是Linux的 一大亮点。
Linux与其他操作系统相比 ,具有开放源码、没有版权、技术社区用户多等特点 ,开放源码使得用户可以自由裁剪,灵活性高,功能强大,成本低。尤其系统中内嵌网络协议栈 ,经过适当的配置就可实现路由器的功能。这些特点使得Linux成为开发路由交换设备的理想开发平台。
而且Linux前景好、待遇高、就业范围多,非常适合零基础人员学习,如果你想要学习的话,我感觉这里还不错。
F. linux系统分为哪几类
第一类:root(超级管理员),UID为0,这个用户有极大的权限,可以直接无视很多的限制,包括读写执行的权限。
第二类:系统用户,UID为1~499。一般是不会被登入的。
第三类就是普通用户,UID范围一般是500~65534。这类用户的权限会受到基本权限的限制,也会受到来自管理员的限制。不过要注意nobody这个特殊的帐号,UID为65534,这个用户的权限会进一步的受到限制,一般用于实现来宾帐号。
当前市面上流行的Linux系统主要分为Readhat和Debian两大系列,而android底层直接用linux原版内核。
一、Redhat系列
Redhat:主要是服务器型Linux,商用收费;RHEL是Red Hat Enterprise Linux的缩写。
CentOS:Redhat的100%复制版本,不收版权费用。
二、Debian系列
Debian:主要是桌面型Linux,代表为Ubuntu。这只是简单的概括,专更详细的分类总结及Linux知识介绍和应用可以看看相属关书籍及资料,推荐一本Linux书籍《Linux就该这么学》。
CentOS:可靠的服务器发行版。是一个重新编译可安装的Red Hat Enterprise Linux(RHEL)代码,并提供及时的安全更新的所有套装软件升级为目标的社区项目。目前很多互联网企业在用的发行版本。
Red Hat(红帽):培训、学习、应用、知名度比较高的Linux发行版本。对硬件兼容性来说也比较不错,版本更新很快,对新硬件和新技术支持较好。Red Hat的开放源码模式提供跨物理、虚拟和云端环境的企业运算解决方案,以帮助企业降低成本并提升效能、稳定性与安全性。
Ubuntu:流行的桌面Linux发行版。朝着发展一种“易用和免费”的桌面操作系统做出了极大的努力和贡献,能够与市场上任何一款个人操作系统相竞争。Ubuntu的优势是固定的发布周期和支持期限、易于初学者学习、具有丰富的文档。
SUSE:拥有让用户满意的漂亮的桌面环境,优秀的系统 管理工具,同时为那些购买盒装版的用户提供最好的印刷品与任何可用的文档。
Debian:优势是非常稳定、拥有卓越的质量控制、超过20,000数量的软件、比任何其他的Linux发行支持更多的处理器架构。
G. kali linux怎么安装ca证书
以前在虚拟机中安装过BackTrack 3 R5特别喜欢BT的风格,也很喜欢BT强大的功能,所以看到BT后面的版本变为Kali后就直接动手安装了,不过马上要换电脑了,而且电脑上已经有两个系统了,不喜欢用虚拟机,所以这次想安装到移动硬盘和U盘,这样以后也容易在新电脑上使用,网上查了好多资料,失败了好多次,终于成功,特写下过程做个记录,也为想安装到移动硬盘和U盘的朋友提供个教程。有什么问题下面留言回复,我看到会尽量解决。
OK,废话不多说,开始
我用U盘刻录然后U盘启动的方法试了好几次,图形安装和live盘安装都试了,在最后一步安装grub引导时会失败,用虚拟机的方法安装成功了,我是用虚拟机的方法安装到移动硬盘和U盘并不是虚拟机里面的系统。用到的虚拟机是VMware Workstation 9。
首先在Kali官网上下载Kali镜像,有amd64位和i386两种版本,即64位和32位,还有两种是ARM的,是在嵌入式设备上使用的,忽略
附上下载链接:镜像官网下载地址
打开链接后如下图所示,选择你需要的版本,我下载的amd64的,下载后的是一个种子文件,用迅雷打开就会下载镜像了
正式安装过程
一、配置VMware环境
1.打开VMware Workstation,新建一个虚拟机
2.选择典型(这里其实选择哪个都一样)点下一步
3.选择第二项,然后点击Browse按钮选择你下载的镜像点击下一步
4.选择Linux在Version中选择Debian 64位,因为Kali是基于Debian的,选择最新版本,点下一步,我这里最新版本为Debian 6
5.随便起个名字,选择你存放虚拟文件的目录,这个目录跟你安装在哪没关系,最好不要选择你要安装的移动硬盘或者U盘,就选择本机磁盘下某个目录
6.设置磁盘空间,这个跟你安装好的系统没关系,保持默认的20就好,选择第二项Split virtual disk as multiple files点击next,然后点击完成。
二、安装Kali到移动硬盘和U盘
1.准备工作:在桌面我的电脑——右键——管理——服务和应用程序——服务,确保这五个服务是开启的
2.打开虚拟机电源,进入Kali的启动窗口,将移动硬盘或者U盘连接到虚拟机,在右下角有一个磁盘的图标,点击一下然后选择Connect
3.按下方向键选择Graphical Install在Install下面,等待启动图形安装界面
4.选择中文
5.提示语言翻译不完全,是否继续,选择是,继续
6.选择中国,继续,选择汉语,继续
7,开始挂载光盘以及加载安装程序组件,然后探测网络设备,配置网络,稍等一会,然后会提示你输入一个用户名,随便起,再接着配置网络要输入一个域名,也随便填,比如www.kali.com,继续
8.设置一个Root密码,设置简单一点
9.开始探测磁盘分区,选择第一项,使用整个磁盘(这里提示一点,你提前需要将磁盘分区,比如移动硬盘,你可以用分区工具或者windows自带的磁盘管理压缩出一个空白卷,比如我压缩了40G,不要设置驱动盘符,这块区域在你的windows上是显示不出来的,U盘也一样,如果你不想整个U盘都被装系统,提前分成两个区,一个装系统,一个用来和普通U盘一样)
10.然后会显示你的磁盘分区状况,会有一个你之前设置的虚拟磁盘和你的移动硬盘(U盘),虚拟磁盘后面显示的是VMware Virtual,如下图
如上图,这是我的U盘分了两个区(我已经在移动硬盘装好了),一个21G,一个10G,我的U盘是32G的,还有一个虚拟磁盘,如果你的这一步显示的是下图这样
也就是说没有你的移动硬盘,你就点击返回再点击返回直到这个界面
然后双击探测键盘,或者选择探测键盘再点击继续,重新探测一次,如果还是不行,就看看你连接是否有问题或者是否分区有问题
11.双击你要安装的分区,如上图,我要安装在21G那个分区(这里说明一下,由于是图形化安装,可以使用鼠标双击的方式或者按键选择然后点继续,都可以)
双击第一项(用于),选择Ext4日志文件系统,双击挂载点选择根目录(/),双击分区设定结束
12.接着选择最后一项,分区设定结束并将修改写入磁盘,点击继续,然后提示没有交换空间,是否返回分区菜单,(在这里说明一下如果是移动硬盘可能会有一个1G左右的分区用于交换分区,如果有的话跟上面的配置方法一样,双击选择用于交换分区,挂载到swap)以现在的技术有没有交换空间都无所谓,所以选择否,即不返回,继续往下进行,然后提示是否将改动写入磁盘,选择是,继续
13.现在就基本完成了,开始安装系统,根据电脑配置时间不一样,我用了近四十分钟
14.然后提示是否使用网络镜像,选择是(网上有人说要选择否,但是根据他的提示我选择的是,也不影响,没什么区别目前看来)
选择是之后会弹出配置软件包管理器的页面,直接跳过,如果你要配置代理,你可以在这里配置,我选的继续,然后提示你没有网络镜像,是否继续安装,选择是等待下载14个文件完成,然后弹出提示是否安装grub引导到硬盘,选择是,到此安装结束,结束后选择是会自动重启,不过不会从移动硬盘或U盘重启,所以等安装完成后,关机选择U盘启动就会启动你的U盘或移动硬盘上的系统了
H. Linux PKI和CA技术
PKI (Public Key Infrastructure )公开密钥基础设施,是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施; 是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
PKI既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。PKI通过传播数字证书来保证安全,于是认轮冲证中心CA就变成了PKI的核心。
认证中心CA(Certificate Authority) 是一个负责发放和管理数字证书的第三方权威机构,它负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。
认证中心主要有仿桐袭以下5个功能:
证书的颁发:接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝
证书的更新:认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书
证书的查询:查询当前用户证书申请处理过程;查询用户证书的颁发信息,这类查询由目录服务器ldap来完成
证书的作废:由于用户私钥泄密等原因,需要向认证中心提出证书作废的请求;证书已经过了有效期,认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。
证书的归档:证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。
PKI的标准规定了PKI的设计、实施和运营,规定了PKI各种角色的”游戏规则”,提供数据语法和语义的共同约定。PKI体系中有很多SSL证书格式标准。
其中最为人熟知的有x.509和PKCS#12(pfx, p12为证书后缀)
1. 证书版本号(Version)
版本号指明X.509证书的格式版本,现在的值可以为: 0:v1, 1:v2, 2:v3
2. 证书序列号(Serial Number)
序列号指定由CA分配给证书的唯一的"数字型标识符"。当证书被取消时,实际上是将此证书的序列号放入由CA签发的证书废除列表CRL(Certificate revocation lists 证书黑名单)中,
3. 签名算法标识符(Signature Algorithm)
签名算法标识用来指定由CA签发证书时所使用的"签名算法"。算法标识符用来指定CA签发证书时所使用的公开密钥算法或hash算法
4. 签发机构名(Issuer)
此域用来标识签发证书的CA的X.500DN(DN-Distinguished Name)名字。包括:
1) 国家(C) 2) 省市(ST) 3) 地区(L) 4) 组织机构(O) 5) 单位部门(OU) 6) 通用名(CN) 7) 邮箱地址
5. 有效期(Validity)
指定证书的有效期,包括:
1) 证书开始生效的日期时间 2) 证书失效的日期和时间
每次使用证书时,需要检查证书是否在有效期内。
6. 证书用户名(Subject)
指定证书持有者的X.500唯一名字。包括:
同签发机备兄构名(Issuer)中的条目
7. 证书持有者公开密钥信息(Subject Public KeyInfo)
证书持有者公开密钥信息域包含两个重要信息:
1) 证书持有者的公开密钥的值 2) 公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。
8. 扩展项(extension)
X.509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项,以使证书能够附带额外信息。
9. 签发者唯一标识符(Issuer Unique Identifier)
签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时,用一比特字符串来唯一标识签发者的X.500名字。可选。
10. 证书持有者唯一标识符(Subject Unique Identifier)
持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时,用一比特字符串来唯一标识证书持有者的X.500名字。可选。
11. 签名算法(Signature Algorithm)
证书签发机构对证书上述内容的签名算法
12. 签名值(Issuer's Signature)
证书签发机构对证书上述内容的签名值
证书案例
I. 【安全】CA证书小记续
【 写在前面 】
早上去和老大解释了一通自己的理解,信心满满的去找服务端沟通去了,哪知自己理解的有偏差,在服务端小伙伴的帮助下终于又理清楚了一些。我知道来对了地方。
【 HOW - SSL证书怎么得到的 】
上一篇我们说到服务端有一个证书叫SSL证书,业界一般叫服务端证书(一般记做server.crt),那么这个server.crt证书是怎么得到的呢?请看下面的流程图:
备注:
由于 ca.key(CA机构私钥) 和 ca.crt(根证书) 是一对, 于是 ca.crt 可以解密 server.crt。
【 WHAT- 单向和双向认证 】
1.单向认证就是我们上一篇中提到的【HOW-CA证书是怎么运行的】,这是一个典型的单向认证,即客户端来校验服务端的证书信息,服务端不校验客户端信息,所以此种情况下,客户端需要有根证书,即ca.crt,服务端需要有server.crt(服务端证书)和server.key(私钥)。这个地方我之前理解server.crt时就错误了,我理解的server.crt依附于根证书,受根证书的有效期影响,但是通过上面server.crt的来源分析,我们知道server.crt只是CA机构签发的,签发后和根证书就没有关系了(当然,CA机构注销等除外),所以服务端有的只是server.crt这个证书。
2.双向认证,即客户端和服务端互相验证对方的证书合法性,那这个时候两方都应该有类似的文件,即:
server 需要 server.key 、server.crt 、ca.crt
client 需要 client.key 、client.crt 、ca.crt
双向认证的流程只是在客户端校验完成服务端证书后,再想服务端发送自己的证书信息,服务端来完成一次单向认证,这样就完成了一次双向认证。
【 WHAT - 证书格式 】
.crt 表示证书, .key表示私钥, .req 表示请求文件,.csr也表示请求文件, .pem表示pem格式
其中windows平台下的证书后缀是.pem,而linux平台的证书后缀是.crt
参考资料: https://blog.csdn.net/ustccw/article/details/76691248
J. linux “命令行自动补全”功能用命令行怎么写
按Tab键,左上角ESC的下面两个,如果当前目录只有一项,只需要直接Tab,如果有多项,输入前面不同的部分再Tab。解决方法如下:
1、首先打开LINUX的操作系统,在左边任务栏里面找到终端,鼠标左键点击打开终端命令窗口。