您现在的位置是:首页 > 编程语言学习 > 其他编程语言 > 文章正文 其他编程语言
使用openssl实现私有CA的搭建和证书的颁发
2022-10-17 11:15:38 其他编程语言
简介这篇文章主要介绍了使用openssl实现私有CA的搭建和证书的颁发,使用openssl搭建私有CA,openssll和私有CA搭建相关的配置文件,里面包含了很...
这篇文章主要介绍了使用openssl实现私有CA的搭建和证书的颁发,使用openssl搭建私有CA,openssll和私有CA搭建相关的配置文件,里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建,需要的朋友可以参考下
CA的相关该概念
- PKI:Public Key Infrastructure 公共密钥加密体系
- CA:Certificate Authority,证书签发机构.实现身份的验证的一个机构。
CA工作逻辑
- A和B通信需要将彼此的公钥传递给对方,但是直接传递公钥不安全。
- 通过将公钥传递给认证机构,认证机构对公钥进行签名(私钥加密,公钥解密)并加上一些属性信息。
- CA机构将证书制作完成后再返还给用户。
- 用户将证书发送给需要通信的一方,对方通过使用CA机构的公钥来进行解密得到他的公钥。
根CA:根CA用于管理下级CA,子CA向根CA获取授权,使得它能给用户颁发证书。
Cert:证书
证书:CA对用户公钥进行签名后形成的一个文件。
证书的来源:
- 自签名证书
- CA机构颁发的证书
CA机构颁发的证书流程:
- 用户生成证书请求文件:.csr
- 将证书请求文件发送给CA
- CA进行签名并颁发证书
CSR是英文Certificate Signing Request的缩写,即证书签名请求
私有CA的搭建
可以通过以下工具来搭建私有CA
- OpenCA
- openssl
使用openssl搭建私有CA:
openssll和私有CA搭建相关的配置文件
里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建。
- [root@CentOS8 tls]# vim /etc/pki/tls/openssl.cnf
- [ ca ]
- default_ca = CA_default# 默认使用的CA
- ####################################################################
- [ CA_default ]
- dir = /etc/pki/CA # 存放和CA相关的文件的目录(CentOS7这个文件默认存在)
- certs = $dir/certs# 存放颁发的证书 Cert:证书
- crl_dir = $dir/crl # 存放被吊销的证书
- database= $dir/index.txt# 存放ca的索引(需要人为创建)
- new_certs_dir = $dir/newcerts # 存放新证书的位置
- certificate = $dir/cacert.pem # ca的自签名证书
- serial = $dir/serial # 证书的编号(第一次需要人为创建并编号,后面会自动递增) serial:连续的
- crlnumber = $dir/crlnumber# 证书吊销列表的编号
- crl = $dir/crl.pem # 证书吊销列表的文件
- private_key = $dir/private/cakey.pem# CA的私钥
- x509_extensions = usr_cert # The extensions to add to the cert
- name_opt= ca_default# Subject Name options
- cert_opt= ca_default# Certificate field options
- policy = policy_match #指定使用的匹配策略
- # For the CA policy
- [ policy_match ]
- countryName = match
- stateOrProvinceName = match
- organizationName= match
- organizationalUnitName = optional
- commonName = supplied
- emailAddress= optional
三种策略:match匹配、optional可选、supplied提供
- match:要求申请填写的信息跟CA设置信息必须一致(前三项)
- optional:可有可无,跟CA设置信息可不一致
- supplied:必须填写这项申请信息
范例:CentOS8搭建私有CA
流程:
1.创建对应的文件和目录(创建的文件和目录需要和配置文件里面的信息对应)
2.生成CA自己的私钥
3.利用CA的私钥生成自签名证书
1. 创建对应的文件和目录
- [root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
- mkdir: created directory '/etc/pki/CA/certs' #存放颁发的证书文件
- mkdir: created directory '/etc/pki/CA/crl' #存放吊销的证书文件
- mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的证书文件
- mkdir: created directory '/etc/pki/CA/private' #存放CA自己的私钥
- #证书的数据库文件:存放证书的颁发等信息,不需要人工维护里面的内容,只需要创建对应的文件就行了,会自动往里面写入数据的
- [root@centos8 ~]# touch /etc/pki/CA/index.txt
- #颁发证书的序号(十六进制):第一个证书颁发的时候使用的就是这个编号,后续会自动递增
- [root@centos8 ~]# echo 01 > /etc/pki/CA/serial
2. 生成CA自己的私钥
- [root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048
- Generating RSA private key, 2048 bit long modulus (2 primes)
- ..........................+++++
- ........................................................................+++++
- e is 65537 (0x010001)
3.颁发自签名证书
- [root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
- You are about to be asked to enter information that will be incorporated
- into your certificate request.
- What you are about to enter is what is called a Distinguished Name or a DN.
- There are quite a few fields but you can leave some blank
- For some fields there will be a default value,
- If you enter '.', the field will be left blank.
- -----
- Country Name (2 letter code) [XX]:CN
- State or Province Name (full name) []:SC
- Locality Name (eg, city) [Default City]:CD
- Organization Name (eg, company) [Default Company Ltd]:SX
- Organizational Unit Name (eg, section) []:LL
- Common Name (eg, your name or your server's hostname) []:tom
- Email Address []:111
- 选项:
- -new:创建一个新的证书,生成新证书签署请求
- -x509:表示证书的格式,专用于CA生成自签证书
- -key:生成请求时用到的私钥文件
- -days n:证书的有效期限
- -out /PATH/TO/SOMECERTFILE: 证书的保存路径
查看自签名证书的方法
- 查看自签名证书的信息
- [root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
- -in:指定输入的文件
- -noout:不输出为文件
- -text:以文本方式来进行显示
说明:颁发自签名证书的时候会要求输入需要输入国家、身份、组织等信息。
用户向私有CA申请证书的流程
1.生成私钥文件
2.通过私钥文件生成证书申请文件,若是match这种策略。填写的 国家 省 组织必须一致
3.CA颁发证书
4.查看证书
1.生成私钥文件
私钥一般使用key作为后缀要标识
- [root@CentOS8 CA]# mkdir /data/app1
- [root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048
- Generating RSA private key, 2048 bit long modulus (2 primes)
- .................................+++++
- ...............................................................................................+++++
- e is 65537 (0x010001)
2.通过私钥文件生成证书申请文件
证书申请文件的后缀一般都是以csr为后缀作为标识
- [root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
- You are about to be asked to enter information that will be incorporated
- into your certificate request.
- What you are about to enter is what is called a Distinguished Name or a DN.
- There are quite a few fields but you can leave some blank
- For some fields there will be a default value,
- If you enter '.', the field will be left blank.
- -----
- Country Name (2 letter code) [XX]:CN #国家
- State or Province Name (full name) []:CN #省份
- Locality Name (eg, city) [Default City]:CN #组织
- Organization Name (eg, company) [Default Company Ltd]:CN
- Organizational Unit Name (eg, section) []:CN
- Common Name (eg, your name or your server's hostname) []:CN
- Email Address []:CN
- Please enter the following 'extra' attributes
- to be sent with your certificate request
- A challenge password []:
- An optional company name []:
说明:
采用match这种策略,默认有三项内容必须和CA一致:国家,省份,组织,如果不同,会出现下面的提示
如果采用的是option这种策略的话就不用保持一致都可以
3. CA 颁发证书
ca需要使用用户的证书申请文件才能颁发证书,利用证书申请文件里面的用户私钥来实现数字签名。
- [root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000
- Using configuration from /etc/pki/tls/openssl.cnf
- Check that the request matches the signature
- Signature ok
- Certificate Details:
- Serial Number: 15 (0xf)
- Validity
- Not Before: Oct 14 06:53:07 2022 GMT
- Not After : Jul 10 06:53:07 2025 GMT
- Subject:
- countryName = CN
- stateOrProvinceName = CN
- organizationName = CN
- organizationalUnitName= CN
- commonName= CN
- emailAddress = CN
- X509v3 extensions:
- X509v3 Basic Constraints:
- CA:FALSE
- Netscape Comment:
- OpenSSL Generated Certificate
- X509v3 Subject Key Identifier:
- 12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A
- X509v3 Authority Key Identifier:
- keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A
- Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)
- Sign the certificate? [y/n]:y
- 1 out of 1 certificate requests certified, commit? [y/n]y
- Write out database with 1 new entries
- Data Base Updated
- [root@CentOS8 CA]# tree
- .
- ├── cacert.pem
- ├── certs
- │ └── app1.crt #给用户生成的生成的证书文件
- ├── crl
- ├── index.txt
- ├── index.txt.attr
- ├── index.txt.old #前一个文件的备份
- ├── newcerts
- │ └── 0F.pem #和app1.crt是同一个东西,自动生成的一个备份文件
- ├── private
- │ └── cakey.pem
- ├── serial
- └── serial.old
- 4 directories, 9 files
- #serial:存放的是下一个证书的证书编号
查看证书的有效性
- [root@CentOS8 CA]# openssl ca -status 0F #0F就是这个证书的标号
- Using configuration from /etc/pki/tls/openssl.cnf
- 0F=Valid (V)
- V:标识生效的 R:标识无效的证书
查看证书的信息
- openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text
例如
- [root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer
- issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN
证书文件后缀
- 后缀规定:
- .crt #证书文件的标识
- .csr #证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了
- .key #私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件
一个证书申请文件只能申请一次证书。
实现一个申请文件申请多个证书的方法;
- root@CentOS8 CA]# pwd
- /etc/pki/CA
- [root@CentOS8 CA]# cat index.txt.attr
- unique_subject = yes
- unique_subject = yes #把yes变为no就可以了
证书的吊销
- openssl ca -revoke /PATH/FILE
例如:
- [root@CentOS8 CA]# openssl ca -revoke certs/app1.crt
- Using configuration from /etc/pki/tls/openssl.cnf
- Revoking Certificate 0F.
- Data Base Updated
- [root@CentOS8 CA]# openssl ca -status 0F
- Using configuration from /etc/pki/tls/openssl.cnf
- 0F=Revoked (R)
- [root@CentOS8 CA]# cat /etc/pki/CA/index.txt
- R 250710065307Z 221014072459Z 0F unknown /C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN
生成证书吊销列表文件
公开被吊销的文件。其他用户可以获取已经吊销了的证书文件列表
- #需要创建一个clinumer文件才可以 吊销证书也需要一个吊销证书的number 类似于index.txt
- #这个文件默认不存在,需要手动创建出来
- echo 01 > /etc/pki/CA/crlnumber
- openssl ca -gencrl -out /etc/pki/CA/crl.pem #证书吊销文件的路径是约定好的
上一篇:详解C++中类的六大默认成员函数
下一篇:最后一页