在linux中ca证书服务器的搭建,实现双因子认证

在linux中ca证书服务器的搭建,实现双因子认证,第1张

可在Linux环境搭建OpenCA,或其他CA。客户端是否也需要在Linux环境?一般客户端通过BS方式访问CA服务网页,做证书申请。Key有了数字证书,如果做认证,那就是应用的事情了。

以前在虚拟机中安装过BackTrack 3 R5特别喜欢BT的风格,也很喜欢BT强大的功能,所以看到BT后面的版本变为Kali后就直接动手安装了,不过马上要换电脑了,而且电脑上已经有两个系统了,不喜欢用虚拟机,所以这次想安装到移动硬盘和U盘,这样以后也容易在新电脑上使用,网上查了好多资料,失败了好多次,终于成功,特写下过程做个记录,也为想安装到移动硬盘和U盘的朋友提供个教程。有什么问题下面留言回复,我看到会尽量解决。

OK,废话不多说,开始

我用U盘刻录然后U盘启动的方法试了好几次,图形安装和live盘安装都试了,在最后一步安装grub引导时会失败,用虚拟机的方法安装成功了,我是用虚拟机的方法安装到移动硬盘和U盘并不是虚拟机里面的系统。用到的虚拟机是VMware Workstation 9。

首先在Kali官网上下载Kali镜像,有amd64位和i386两种版本,即64位和32位,还有两种是ARM的,是在嵌入式设备上使用的,忽略

附上下载链接:镜像官网下载地址

打开链接后如下图所示,选择你需要的版本,我下载的amd64的,下载后的是一个种子文件,用迅雷打开就会下载镜像了

正式安装过程

一、配置VMware环境

1.打开VMware Workstation,新建一个虚拟机

2.选择典型(这里其实选择哪个都一样)点下一步

3.选择第二项,然后点击Browse按钮选择你下载的镜像点击下一步

4.选择Linux在Version中选择Debian 64位,因为Kali是基于Debian的,选择最新版本,点下一步,我这里最新版本为Debian 6

5.随便起个名字,选择你存放虚拟文件的目录,这个目录跟你安装在哪没关系,最好不要选择你要安装的移动硬盘或者U盘,就选择本机磁盘下某个目录

6.设置磁盘空间,这个跟你安装好的系统没关系,保持默认的20就好,选择第二项Split virtual disk as multiple files点击next,然后点击完成。

二、安装Kali到移动硬盘和U盘

1.准备工作:在桌面我的电脑——右键——管理——服务和应用程序——服务,确保这五个服务是开启的

2.打开虚拟机电源,进入Kali的启动窗口,将移动硬盘或者U盘连接到虚拟机,在右下角有一个磁盘的图标,点击一下然后选择Connect

3.按下方向键选择Graphical Install在Install下面,等待启动图形安装界面

4.选择中文

5.提示语言翻译不完全,是否继续,选择是,继续

6.选择中国,继续,选择汉语,继续

7,开始挂载光盘以及加载安装程序组件,然后探测网络设备,配置网络,稍等一会,然后会提示你输入一个用户名,随便起,再接着配置网络要输入一个域名,也随便填,比如www.kali.com,继续

8.设置一个Root密码,设置简单一点

9.开始探测磁盘分区,选择第一项,使用整个磁盘(这里提示一点,你提前需要将磁盘分区,比如移动硬盘,你可以用分区工具或者windows自带的磁盘管理压缩出一个空白卷,比如我压缩了40G,不要设置驱动盘符,这块区域在你的windows上是显示不出来的,U盘也一样,如果你不想整个U盘都被装系统,提前分成两个区,一个装系统,一个用来和普通U盘一样)

10.然后会显示你的磁盘分区状况,会有一个你之前设置的虚拟磁盘和你的移动硬盘(U盘),虚拟磁盘后面显示的是VMware Virtual,如下图

如上图,这是我的U盘分了两个区(我已经在移动硬盘装好了),一个21G,一个10G,我的U盘是32G的,还有一个虚拟磁盘,如果你的这一步显示的是下图这样

也就是说没有你的移动硬盘,你就点击返回再点击返回直到这个界面

然后双击探测键盘,或者选择探测键盘再点击继续,重新探测一次,如果还是不行,就看看你连接是否有问题或者是否分区有问题

11.双击你要安装的分区,如上图,我要安装在21G那个分区(这里说明一下,由于是图形化安装,可以使用鼠标双击的方式或者按键选择然后点继续,都可以)

双击第一项(用于),选择Ext4日志文件系统,双击挂载点选择根目录(/),双击分区设定结束

12.接着选择最后一项,分区设定结束并将修改写入磁盘,点击继续,然后提示没有交换空间,是否返回分区菜单,(在这里说明一下如果是移动硬盘可能会有一个1G左右的分区用于交换分区,如果有的话跟上面的配置方法一样,双击选择用于交换分区,挂载到swap)以现在的技术有没有交换空间都无所谓,所以选择否,即不返回,继续往下进行,然后提示是否将改动写入磁盘,选择是,继续

13.现在就基本完成了,开始安装系统,根据电脑配置时间不一样,我用了近四十分钟

14.然后提示是否使用网络镜像,选择是(网上有人说要选择否,但是根据他的提示我选择的是,也不影响,没什么区别目前看来)

选择是之后会弹出配置软件包管理器的页面,直接跳过,如果你要配置代理,你可以在这里配置,我选的继续,然后提示你没有网络镜像,是否继续安装,选择是等待下载14个文件完成,然后弹出提示是否安装grub引导到硬盘,选择是,到此安装结束,结束后选择是会自动重启,不过不会从移动硬盘或U盘重启,所以等安装完成后,关机选择U盘启动就会启动你的U盘或移动硬盘上的系统了

PKI (Public Key Infrastructure )公开密钥基础设施,是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。PKI通过传播数字证书来保证安全,于是认证中心CA就变成了PKI的核心。

认证中心CA(Certificate Authority) 是一个负责发放和管理数字证书的第三方权威机构,它负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。

认证中心主要有以下5个功能:

证书的颁发:接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝

证书的更新:认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书

证书的查询:查询当前用户证书申请处理过程;查询用户证书的颁发信息,这类查询由目录服务器ldap来完成

证书的作废:由于用户私钥泄密等原因,需要向认证中心提出证书作废的请求;证书已经过了有效期,认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。

证书的归档:证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。

PKI的标准规定了PKI的设计、实施和运营,规定了PKI各种角色的”游戏规则”,提供数据语法和语义的共同约定。PKI体系中有很多SSL证书格式标准。

其中最为人熟知的有x.509和PKCS#12(pfx, p12为证书后缀)

1. 证书版本号(Version)

版本号指明X.509证书的格式版本,现在的值可以为: 0:v1, 1:v2, 2:v3

2. 证书序列号(Serial Number)

序列号指定由CA分配给证书的唯一的"数字型标识符"。当证书被取消时,实际上是将此证书的序列号放入由CA签发的证书废除列表CRL(Certificate revocation lists 证书黑名单)中,

3. 签名算法标识符(Signature Algorithm)

签名算法标识用来指定由CA签发证书时所使用的"签名算法"。算法标识符用来指定CA签发证书时所使用的公开密钥算法或hash算法

4. 签发机构名(Issuer)

此域用来标识签发证书的CA的X.500DN(DN-Distinguished Name)名字。包括:

1) 国家(C) 2) 省市(ST) 3) 地区(L) 4) 组织机构(O) 5) 单位部门(OU) 6) 通用名(CN) 7) 邮箱地址

5. 有效期(Validity)

指定证书的有效期,包括:

1) 证书开始生效的日期时间 2) 证书失效的日期和时间

每次使用证书时,需要检查证书是否在有效期内。

6. 证书用户名(Subject)

指定证书持有者的X.500唯一名字。包括:

同签发机构名(Issuer)中的条目

7. 证书持有者公开密钥信息(Subject Public KeyInfo)

证书持有者公开密钥信息域包含两个重要信息:

1) 证书持有者的公开密钥的值 2) 公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。

8. 扩展项(extension)

X.509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项,以使证书能够附带额外信息。

9. 签发者唯一标识符(Issuer Unique Identifier)

签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时,用一比特字符串来唯一标识签发者的X.500名字。可选。

10. 证书持有者唯一标识符(Subject Unique Identifier)

持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时,用一比特字符串来唯一标识证书持有者的X.500名字。可选。

11. 签名算法(Signature Algorithm)

证书签发机构对证书上述内容的签名算法

12. 签名值(Issuer's Signature)

证书签发机构对证书上述内容的签名值

证书案例


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/323741.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-01
下一篇2023-05-01

发表评论

登录后才能评论

评论列表(0条)

    保存