CA证书与DHCP服务

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out cakey 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key cakey -outcacrt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out serverkey 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key serverkey -out servercsr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS1=abccom

DNS2=abccom

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile httpext -inservercsr -CA cacrt -CAkey cakey -set_serial 01 -out servercrt

7 ：最终会得到一下几个文件

cacrt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

cakey: ca证书的密钥

serverkey: 服务器密钥，需要配置的

servercsr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

servercrt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 19216818 -p 2222

-b

指定连接的源IP

ssh 19216818 -p 2222 -b 192168188

-v

调试模式

ssh 19216818 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/ssh/id_dsa,

~/ssh/id_ecdsa,/ssh/id_ed25519

，/ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yumreposd/CentOS-<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpdconf

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-425/dhcpdconfexample<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benetcom";<!--指定默认搜索域-->

option domain-name-servers 202106010, 202106020; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpdconf文件的配置构成

在主配置文件dhcpdconf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcodconf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolvconf配置文件中，如“search benetcom”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolvconf配置文件中，如“nameserver 202106020”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为1921681000/24网段提供服务，用于自动分配的IP地址范围为192168100。100~192168100200，为客户机指定默认网关地址为192168100254，则ke可以修改dhcpdconf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

subnet 1921681000 netmask 2552552550 {<!--声明网段地址-->

range 192168100100 192168100200;<!--设置地址池，可以有多个-->

option routers 192168100254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192168100101，可以修改dhcpdconf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192168100101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为19216810010，用于为网段192。1681000/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpdservice，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0000:67              0000:                          2102/dhcpd         

udp        0      0 0000:67              0000:                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 425

Copyright 2004-2013 Internet Systems Consortium

All rights reserved

For info, please visit https://wwwiscorg/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255255255255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 19216810010<!--DHCP提供-->

DHCPACK from 19216810010 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192168100102 -- renewal in 229 seconds

<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

一、怎么申请CA证书

      如果用户想获得自己的证书,他应该先向CA申请。CA确定申请人的身份后,为其分配一个公钥,CA将公钥与申请人的身份信息绑定并签名后,形成证书发送给申请人。CA也有一个证书(包含公钥和私钥)。在线公共用户通过验证CA的签名来信任CA,任何人都可以得到CA的证书(包括公钥)来验证CA颁发的证书。证书的内容包括:电子签证机构信息、公钥用户信息、公钥、签名和机构有效期等。扩展数据证书的原理:数字证书将用户信息和CA的签名附加到用户的公钥上。公钥是密钥对的一部分,另一部分是私钥。公钥是公开的,任何人都可以使用。只有自己知道私钥。由公钥加密的信息只能由相应的私钥解密。为了保证只有一个人可以阅读自己的信件,发送方要用接收方的公钥对信件进行加密;收件人可以用他的私钥解密这封信。同样,为了验证发信人的身份,发信人应该用自己的私钥在信上签名;接收方可以使用发送方的公钥来验证签名,以确认发送方的身份。

二、企业ca证书是什么怎么申请

      CA是证书颁发机构,是PKI的核心。CA是负责颁发证书、认证证书和管理已颁发证书的权威机构。它应制定验证和识别用户身份的策略和具体步骤,并对用户证书进行签名,以确保证书持有人的身份和公钥的所有权。CA是电子商务认证机构,又称电子商务认证中心。它是负责颁发和管理数字证书的机构。CA作为电子商务交易中的可信第三方,承担着验证公钥系统中公钥合法性的责任,一般也称为SSL证书。具体申请流程如下:首先,生成并提交CSR(证书签名请求)文件。CSR文件通常可以在线生成(或在服务器上生成)。同时,系统会生成两个密钥,公钥CSR和密钥key。选择SSL证书申请后,提交订单,将生成的CSR文件提交给证书所在的CA机构。二、CA机构验证CA机构有两种方式对提交的SSL证书申请进行验证:第一种方式是域名认证。系统会自动向该域名的管理员邮箱发送验证邮件(该邮箱是WHOIS信息查到的域名联系人的邮箱)。管理员收到邮件后,点击“我确认”完成邮件验证。所有型号的SSL证书都必须通过域名进行身份验证。二是企业相关信息的认证。对于申请OV SSL证书或EV SSL证书的企业,除了域名认证外,还需要人工验证企业的相关数据和信息,确保企业的真实性。第三步:CA机构颁发证书。由于SSL证书申请的模式不同,验证的材料和方法也有些不同,所以签发时间也不同。如果申请DV SSL证书,最快10分钟左右就能出证。如果您申请OV SSL证书或EV SSL证书,通常可以在3-7个工作日内签发。

三、ca证书在哪里办

      法律分析:1。携带营业执照复印件(复印件)、税务登记证复印件(加盖单位公章)和u盘,到地税机关窗口申请下载;2注意:经办人要携带身份证;3ca证书的使用:获取CA证书后,双击电脑中的CA证书,完成导入和安装;4CA证书是网上申报时确认身份、保证网上信息安全的电子文档。纳税人应当妥善保管证件关联文件和密码,不得向他人泄露或者交付。5纳税人使用缴费时获得的用户名和下载密码从网上下载CA证书。纳税人有责任对下载证书的用户名和密码保密。首次成功登录后请自行修改下载密码,并牢记密码。法律依据《中华人民共和国电子签名法》第十三条电子签名符合下列条件的,应当视为可靠的电子签名: (一)电子签名制作的数据用于电子签名时,属于电子签名人的专有;(二)签名时,电子签名数据仅由电子签名人控制;(3)可以发现签名后对电子签名的任何更改;(4)签名后对数据电文内容和形式的任何更改都能被发现。第十四条可靠的电子签名与手写签名或者印章具有同等法律效力。

四、CA数字证书是神马东西啊要怎么办理啊!

      解读:CA数字证书是由CA中心的权威机构签名认证的证书。数字证书是网络世界的身份证。在网络世界里,不见面的用户建立安全可靠的信任关系是可能的。这种信任关系的建立来源于PKI/CA认证中心,构建一个安全的PKI/CA认证中心非常重要。办理:要拿到证书,要先向CA申请。CA确定申请人的身份后,分配一个公钥,CA将公钥与申请人的身份信息绑定并签名,形成证书发送给申请人。为了识别证书的真实性,该证书上的签名用CA的公钥进行验证。一旦验证通过,证书就被认为是有效的。功能:数字证书为双方的安全通信提供电子认证。在Internet、intranet或extranet中,数字证书用于实现身份识别和电子信息加密。证书包含密钥对(公钥和私钥)所有者的身份信息,通过验证身份信息的真实性可以认证证书持有人的身份。扩展:CA证书的内容包括:1。电子签证机关信息、公钥用户信息、公钥、机关签名及有效期等。证书的格式和验证方法一般遵循X509国际标准。2加密:CA识别

      证我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。3、解密:我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。CA证书在数字签名中对这些HASH函数的特殊要求是:1、接受的输入报文数据没有长度限制;2、对任何输入报文数据生成固定长度的摘要(数字指纹)输出;3、从报文能方便地算出摘要;4、难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;5、难以生成两个不同的报文具有相同的摘要。

五、深圳社保CA证书怎么办理

      社保CA数字证书办理流程如下:1、准备申请材料,申请材料包括:《社保数字证书申请表》一份(共4页,包含申请表两联,电子认证服务协议两联)(注:业务类型勾选”)、单位组织机构代码证副本复印件一份、 单位营业执照副本复印件一份、单位经办人身份证复印件一份。注意:以上纸质资料均需加盖单位公章。如企业单位持有的是”新版营业执照,则提交办理时不再提交组织机构代码证资料。2、将准备的以上资料递交给深圳市电子商务安全证书管理有限公司(深圳CA)受理中心,所有证件需核原件收复印件。3、深圳CA受理中心审核资料,若资料真实、安全,申请人缴费,深圳CA受理中心开具发票,签发数字证书。4、若申请资料不齐全,补充申请资料,重新递交,深圳CA受理中心审核通过后,申请人缴费,深圳CA受理中心开具发票,签发数字证书。扩展资料:CA数字证书作用:一、安全性1、为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。 2、第二张证书不能备份,会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。二、唯一性申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有了类似“钥匙”一样的数字凭证,增强账户使用安全。三、方便性1、即时申请、即时开通、即时使用。2、量身定制多种途径维护数字证书,例如通过短信,安全问题等。3、不需要使用者掌握任何数字证书相关知识,也能轻松掌握。

六、如何办理地税CA证书需要带什么资料

      企业法人营业执照副本;组织机构代码证书副本;税务登记证副本;地税CA证书的U盘;公章。手续费若干。1、办理流程携带营业执照(副本)复印件税务登记证复印件(加盖单位公章)和U盘,到当地办税大厅窗口申请下载即可;注意:办理人要携带身份证;2、CA证书的用法在获取CA证书后,在电脑中双击CA证书,即可完成导入安装;CA证书是网上申报时证实身份、保证网上信息安全的电子文件。纳税人应当妥善保管与证书关联的文件和密码,不得泄漏或交付他人。纳税人使用缴费时获取的用户名和下载密码,从网上下载CA证书。纳税人对下载证书的用户名和密码的保密性负责,首次成功登陆后请自行修改下载密码,并牢记密码。

服务器证书是SSL证书的别称，是一种数字证书，由数字证书颁发机构（CA）进行颁发，所以要去正规的CA进行申请。推荐几家常用的CA机构给大家。

一、Comodo

Comodo是世界上知名的SSL证书颁发机构，著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。 Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性，真实性以及安全性，使Comodo成为一个非常值得信赖的品牌。

二、Symantec

Symantec成立于1982年，全球安全领域的领导者，Symantec SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。服务于全球超过35个国家，拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家，北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。

三、GeoTrust

GeoTrust是世界第二大的数字安全提供者，是非常受欢迎，低廉的价格非常适合中小型企业，签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务，Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。

四、RapidSSL

Rapid是美国GeoTrust公司的一个面向低端用户而提供的简易版、快速签发、入门级SSL证书的品牌，主要应用于中小规模、入门级的电子商务网站。RapidSSL是GeoTrust公司的下属品牌，面向个人和小微企业提供廉价的SSL/TLS证书产品，不限制服务器安装数量。

部署HTTPS，需要申请SSL证书，具体步骤如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

　　要想成功架设SSL安全站点关键要具备以下几个条件。

　　1、需要从可信的证书办法机构CA获取服务器证书。

　　2、必须在WEB服务器上安装服务器证书。

　　3、必须在WEB服务器上启用SSL功能。

　　4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。

　　下面，我们对照上面的四部，进行一步一步的操作

　　1：需要从可信的证书办法机构CA获取服务器证书（由于我们是在本地做测试环境，而不是实际操作。所以这里我们自己创建一个证书。如果是实际的操作，需要通过域名商，来获取一个证书，这是要花钱的。）

　　2：必须在WEB服务器上安装服务器证书。

　　打开IIS，找到服务器证书、

　　点击创建自签名证书

　　输入你要创建的证书的名字，我这里取名 joeyssl

　　3、必须在WEB服务器上启用SSL功能。

　　接下来，我们新建一个本地测试站点，并且绑定刚才我们创建的证书。

　　打开 hosts 文件，用于创建一个站点的名称（例如 http://webjoeyssl 那么这个 webjoeyssl 就是我们需要创建的站点名称，我用hosts解析为本地）

　　C:\Windows\System32\drivers\etc

　　在IIS里面绑定目录，绑定http和 https

　　在添加的时候，绑定类型，先选择 http 的类型，虽然这里有 https，但是还是首先要保证能通过 http能访问网站，毕竟大部分的人都是通过http来打开站点的，只是在某些特别需要加密的地方用到https，我们下一步会绑定 https的，这里先不急，除非你整个站点都是https运用，那么这里才只选择https。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

CA 也拥有一个证书（内含公钥和私钥）。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

扩展资料

证书原理：数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。

为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

——ca证书

数网站的URL都是以HTTP开头，HTTP协议我们比较熟悉，信息通过明文传输，与服务器间传输数据更快速准确，但是HTTP明显是不安全的。

当我们在使用邮件或者是在线支付时，都是使用HTTPS。HTTPS传输数据需要使用证书并对进行传输的信息进行了加密处理，相对HTTP更安全。

一、生成根证书

生成根证书应该有许多种：

1、如果操作系统是server，可以搭建CA服务器

参考文章：《搭建CA服务器》

我搭建了，但因为刚开始的时候思路没有整理清晰，乱试一气，没有试成功。但现在想起来，应该也可以的

用makecertexe

这是微软为WIN7或以前的操作系统准备的证书生成工具，挺好用的。现在WIN10和win2016 server之后用的是一个叫：New-SelfSignedCertificate 的工具，在power shell里面运行的命令。

itisscgexe

这是一个用NET开发的证书生成工具，图形界面。这个工具小巧玲珑，只有200多K，需要NET46的支持

客户端导入根证书

将根证书文件拷贝到客户端机器，在“本机”的“受信任的根证书颁发机构” 里导入即可。

完成以上3个步骤，已经大功告成。但是，开发阶段，一个网站往往需要多张证书：

网站多张证书

依我看，开发过程中，一个网站往往有两张以上的证书。为什么这么说呢？我们开发的时候，访问本机的网站，一般都用localhost，而别人访问我们，肯定要用IP。虽然证书里的subject alternative name 支持多个域名和IP，但如果是localhost与IP混在一起的话，谷歌浏览器支持，IE又不干了，它会警告说这张证书是颁布给别的网站的。所以localhost要与IP分开成两张证书。

ssl证书申请的3个主要步骤

1、制作CSR文件

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENssl命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

2、CA认证

将CSR提交给CA，CA一般有2种认证方式：

1)域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称;

2)企业文档认证：需要提供企业的营业执照。

也有需要同时认证以上2种方式的证书，叫EV ssl证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

3、证书安装

在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改httpDCONF文件;TOMCAT等，需要将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVERXML;IIS需要处理挂起的请求，将CER文件导入。