1. 首页
  2. acgpower

生成自签名证书和CA机构颁发的区别

2021/01/22 17:47 acgpower自签证书作用 ssl证书 openssl

天生自署名证书

本文档提供使用 openssl 天生自署名证书的一个示例,用户也可以根据自己的需求天生切合要求的证书和密钥。

假设实例集群拓扑如下:

Name Host IP Services
node1 172.16.10.11 DM-master1
node2 172.16.10.12 DM-master2
node3 172.16.10.13 DM-master3
node4 172.16.10.14 DM-worker1
node5 172.16.10.15 DM-worker2
node6 172.16.10.16 DM-worker3

安装 OpenSSL

对于 Debian 或 Ubuntu 操作系统:

对于 RedHat 或 CentOS 操作系统:

也可以参考 OpenSSL 官方的 下载文档 进行安装。

天生 CA 证书

CA 的作用是签发证书。实际环境中,请联系你的管理员签发证书要么使用信托的 CA 机构。CA 会管理多个证书对,这里只需天生原始的一对质书,步骤如下:

  1. 天生 CA 密钥:

    openssl genrsa -out ca-key.pem 4096

  2. 天生 CA 证书:

    openssl req -new -x509 -days 1000 -key ca-key.pem -out ca.pem

  3. 验证 CA 证书:

    openssl x509 -text -in ca.pem -noout

签发各个组件的证书

集群中大概使用到的证书

  • master certificate 由 DM-master 使用,为其他组件验证 DM-master 身份。
  • worker certificate 由 DM-worker 使用,为其他组件验证 DM-worker 身份。
  • client certificate 由 dmctl 使用,用于 DM-master、DM-worker 验证客户端。

为 DM-master 签发证书

给 DM-master 实例签发证书的步骤如下:

  1. 天生该证书对应的私钥:

    openssl genrsa -out master-key.pem 2048

  2. 拷贝一份 OpenSSL 的设置模板文件。

    模板文件大概存在多个位置,请以实际位置为准:

    cp /usr/lib/ssl/openssl.cnf .

    假如不知道实际位置,请在根目次下查找:

  3. 编辑 openssl.cnf ,在 [ req ] 字段下参加 req_extensions = v3_req ,然后在 [ v3_req ] 字段下参加 subjectAltName = @alt_names 。最后新建一个字段,根据前述的集群拓扑编辑 Subject Alternative Name (SAN) 的信息:

    [ alt_names ] IP.1 = 127.0.0.1 IP.2 = 172.16.10.11 IP.3 = 172.16.10.12 IP.4 = 172.16.10.13

    现在支持以下 SAN 检察项:

    留意:

    假如要使用 0.0.0.0 等特别 IP 用于连接通讯,也需要将其参加到 alt_names 中。

  4. 保存 openssl.cnf 文件后,天生证书请求文件(在这一步中提供 Common Name (e.g. server FQDN or YOUR name) []: 输入时,可以为该证书指定 Common Name (CN),如 dm 。其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在设置文件中启用该功能才见效):

    openssl req -new -key master-key.pem -out master-cert.pem -config openssl.cnf

  5. 签发天生证书:

    openssl x509 -req -days 365 -CA ca.pem -CAkey ca-key.pem -CAcreateserial -in master-cert.pem -out master-cert.pem -extensions v3_req -extfile openssl.cnf

  6. 验证证书携带 SAN 字段信息(可选):

    openssl x509 -text -in master-cert.pem -noout

  7. 确认在当前目次下得到如下文件:

    ca.pem master-cert.pem master-key.pem
留意:

为 DM-worker 组件签发证书的過逞类似,此文档不再赘述。

为 dmctl 签发证书

为客户端签发证书的步骤如下。

  1. 天生该证书对应的私钥:

    openssl genrsa -out client-key.pem 2048

  2. 天生证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,默认不会开启对各个组件的验证,需要在设置文件中启用该功能才见效)

    openssl req -new -key client-key.pem -out client-cert.pem

  3. 签发天生证书:

    openssl x509 -req -days 365 -CA ca.pem -CAkey ca-key.pem -CAcreateserial -in client-cert.pem -out client-cert.pem

acgpower自签证书作用

自己天生的SSL证书也叫自署名SSL证书,签发很随意,任何人都可以签发,轻易被黑客仿冒使用,不是由正规的CA机构颁发的,以是不受browser的信托。

而付费的SSL证书,是由受信托的CA机构颁发的,申请时会对域名全部权和企业相关信息进行验证,安全级别是比较高的,并且备受各大browser的信托。固然是付费的好。

自署名SSL证书的缺点如下:

1、自签SSL证书最轻易被冒充和伪造,被敲诈网站使用

自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。假如您的网站使用自签SSL证书,那黑客也可以伪造一张千篇一律的自签证书,用在垂钓网站上,伪造出有一样证书的冒充网银网站!

2、摆设自签SSL证书的网站,browser会连续弹出告诫

自签SSL证书是不受browser信托的,用户访问摆设了自签SSL证书的网站时,browser会连续弹出安全告诫,极大影响用户体验。

3、自签SSL证书最轻易受到SSL中间人打击

用户访问摆设了自签SSL证书的网站,碰到browser告诫提示时,网站通常会告知用户点击“继续欣赏”,用户渐渐养成了忽略browser告诫提示的習慣,这就给了中间人打击可乘之机,使网站更轻易受到中间人打击。

4、自签SSL证书没有可访问的吊销列表

这也是全部自签SSL证书广泛存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,此中一个必备功能是要让browser能及时!查验证书状态是否已逾期、已吊销等,证书中必须带有browser可访问的证书吊销列表。假如browser无法及时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有大概被用于非法用途而让用户遭受丧失。别的,browser还会发出“吊销列表不可用,是否继续?”的安全告诫,大大延伸browser的处置时间,影响网页的流量速率。

5、自签SSL证书支持超长有用期,时间越长越轻易被破解

自签证书中另有一个广泛的问题是证书有用期太长,短则5年,长则20年甚至30年。由于自签证书制作无本钱无监管,想签发几年就签发几年,而根本不知道PKI技能尺度限定证书有用期的基本原理是:有用期越长,就越有大概被黑客破解,由于他有充足长的时间(20年)来破解你的加密。

请填写全部字段 密码不匹配 密码不够强。思量使用更多字符,包括大写字母、数字和特别字符。 请输入有用的电子邮件地点 您实验使用的电子邮件地点已被占用。请使用其他电子邮件地点注册。 请选中“我不是机器人”框 此电子邮件已存在。请选择其他地点 您的密码已更新 您必须提供当前密码 电子邮件不存在 最差 您当前的密码不准确 发生错误 无效用户名/密码组合 密码重置电子邮件已发送到指定的电子邮件地点。 一月 二月 三月 四月 五月 六月 七月 八月 九月 十月 十一月 十二月 英语 德语 法语 西班牙语 葡萄牙语 该聚集名称已存在!

本文网址: http://www.6vho.com/page/2021022183316_9198_1682831016/home