本站首页 收藏本站
广告位联系

APP正在开发中...
返回顶部
您的位置: 主页 > 网络编程 > 相关技巧 >

收藏
分享到

使用openssl实现私有CA的搭建和证书的颁发

相关技巧 来源:互联网 作者:佚名 发布时间:2022-10-18 21:07:53 人浏览
摘要

CA的相关该概念 PKI:Public Key Infrastructure 公共密钥加密体系 CA:Certificate Authority,证书签发机构.实现身份的验证的一个机构。 CA工作逻辑 A和B通信需要将彼此的公钥传递给对方,但是直

CA的相关该概念

  • PKI:Public Key Infrastructure 公共密钥加密体系
  • CA:Certificate Authority,证书签发机构.实现身份的验证的一个机构。

CA工作逻辑

  • A和B通信需要将彼此的公钥传递给对方,但是直接传递公钥不安全。
  • 通过将公钥传递给认证机构,认证机构对公钥进行签名(私钥加密,公钥解密)并加上一些属性信息。
  • CA机构将证书制作完成后再返还给用户。
  • 用户将证书发送给需要通信的一方,对方通过使用CA机构的公钥来进行解密得到他的公钥。

根CA:根CA用于管理下级CA,子CA向根CA获取授权,使得它能给用户颁发证书。

Cert:证书

证书:CA对用户公钥进行签名后形成的一个文件。

证书的来源:

  • 自签名证书
  • CA机构颁发的证书

CA机构颁发的证书流程:

  • 用户生成证书请求文件:.csr
  • 将证书请求文件发送给CA
  • CA进行签名并颁发证书

CSR是英文Certificate Signing Request的缩写,即证书签名请求

私有CA的搭建

可以通过以下工具来搭建私有CA

  • OpenCA
  • openssl

使用openssl搭建私有CA:

openssll和私有CA搭建相关的配置文件

里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

[root@CentOS8 tls]#  vim /etc/pki/tls/openssl.cnf

[ ca ]

default_ca      = CA_default            # 默认使用的CA

 

####################################################################

[ CA_default ]

dir             = /etc/pki/CA           # 存放和CA相关的文件的目录(CentOS7这个文件默认存在)

certs           = $dir/certs            # 存放颁发的证书  Cert:证书

crl_dir         = $dir/crl              # 存放被吊销的证书

database        = $dir/index.txt        # 存放ca的索引(需要人为创建)

new_certs_dir   = $dir/newcerts         # 存放新证书的位置

certificate     = $dir/cacert.pem       # ca的自签名证书

serial          = $dir/serial           # 证书的编号(第一次需要人为创建并编号,后面会自动递增) serial:连续的

crlnumber       = $dir/crlnumber        # 证书吊销列表的编号

crl             = $dir/crl.pem          # 证书吊销列表的文件

private_key     = $dir/private/cakey.pem# CA的私钥

x509_extensions = usr_cert              # The extensions to add to the cert

name_opt        = ca_default            # Subject Name options

cert_opt        = ca_default            # Certificate field options

 

policy          = policy_match  #指定使用的匹配策略

 

# For the CA policy

[ policy_match ]

countryName             = match

stateOrProvinceName     = match

organizationName        = match

organizationalUnitName  = optional

commonName              = supplied

emailAddress            = optional

三种策略:match匹配、optional可选、supplied提供

  • match:要求申请填写的信息跟CA设置信息必须一致(前三项)
  • optional:可有可无,跟CA设置信息可不一致
  • supplied:必须填写这项申请信息

范例:CentOS8搭建私有CA

流程:

1.创建对应的文件和目录(创建的文件和目录需要和配置文件里面的信息对应)

2.生成CA自己的私钥

3.利用CA的私钥生成自签名证书

1. 创建对应的文件和目录

1

2

3

4

5

6

7

8

9

10

11

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

mkdir: created directory '/etc/pki/CA/certs' #存放颁发的证书文件

mkdir: created directory '/etc/pki/CA/crl'  #存放吊销的证书文件

mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的证书文件

mkdir: created directory '/etc/pki/CA/private'  #存放CA自己的私钥

 

#证书的数据库文件:存放证书的颁发等信息,不需要人工维护里面的内容,只需要创建对应的文件就行了,会自动往里面写入数据的

[root@centos8 ~]# touch /etc/pki/CA/index.txt

 

#颁发证书的序号(十六进制):第一个证书颁发的时候使用的就是这个编号,后续会自动递增

[root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私钥

1

2

3

4

5

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048

Generating RSA private key, 2048 bit long modulus (2 primes)

..........................+++++

........................................................................+++++

e is 65537 (0x010001)

3.颁发自签名证书

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SC

Locality Name (eg, city) [Default City]:CD

Organization Name (eg, company) [Default Company Ltd]:SX

Organizational Unit Name (eg, section) []:LL

Common Name (eg, your name or your server's hostname) []:tom

Email Address []:111

 

选项:

-new:创建一个新的证书,生成新证书签署请求

 

-x509:表示证书的格式,专用于CA生成自签证书

 

-key:生成请求时用到的私钥文件

 

-days n:证书的有效期限

 

-out /PATH/TO/SOMECERTFILE: 证书的保存路径

查看自签名证书的方法

1

2

3

4

5

6

7

8

查看自签名证书的信息

[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

 

-in:指定输入的文件

 

-noout:不输出为文件

 

-text:以文本方式来进行显示

说明:
颁发自签名证书的时候会要求输入需要输入国家、身份、组织等信息。

用户向私有CA申请证书的流程

1.生成私钥文件

2.通过私钥文件生成证书申请文件,若是match这种策略。填写的 国家 省 组织必须一致

3.CA颁发证书

4.查看证书

1.生成私钥文件

私钥一般使用key作为后缀要标识

1

2

3

4

5

6

7

[root@CentOS8 CA]# mkdir /data/app1

 

[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)

.................................+++++

...............................................................................................+++++

e is 65537 (0x010001)

2.通过私钥文件生成证书申请文件

证书申请文件的后缀一般都是以csr为后缀作为标识

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN  #国家

State or Province Name (full name) []:CN #省份

Locality Name (eg, city) [Default City]:CN #组织

Organization Name (eg, company) [Default Company Ltd]:CN

Organizational Unit Name (eg, section) []:CN

Common Name (eg, your name or your server's hostname) []:CN

Email Address []:CN

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

说明:

采用match这种策略,默认有三项内容必须和CA一致:国家,省份,组织,如果不同,会出现下面的提示

如果采用的是option这种策略的话就不用保持一致都可以

3. CA 颁发证书

ca需要使用用户的证书申请文件才能颁发证书,利用证书申请文件里面的用户私钥来实现数字签名。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr  -out /etc/pki/CA/certs/app1.crt -days 1000

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number: 15 (0xf)

        Validity

            Not Before: Oct 14 06:53:07 2022 GMT

            Not After : Jul 10 06:53:07 2025 GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = CN

            organizationName          = CN

            organizationalUnitName    = CN

            commonName                = CN

            emailAddress              = CN

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A

            X509v3 Authority Key Identifier:

                keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A

 

Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

[root@CentOS8 CA]# tree

.

├── cacert.pem

├── certs

│   └── app1.crt #给用户生成的生成的证书文件

├── crl

├── index.txt

├── index.txt.attr

├── index.txt.old  #前一个文件的备份

├── newcerts

│   └── 0F.pem #和app1.crt是同一个东西,自动生成的一个备份文件

├── private

│   └── cakey.pem

├── serial

└── serial.old

 

4 directories, 9 files

 

#serial:存放的是下一个证书的证书编号

查看证书的有效性

1

2

3

4

5

[root@CentOS8 CA]# openssl ca -status 0F  #0F就是这个证书的标号

Using configuration from /etc/pki/tls/openssl.cnf

0F=Valid (V)

 

V:标识生效的   R:标识无效的证书

查看证书的信息

1

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

1

2

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer

issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

证书文件后缀

1

2

3

4

5

6

后缀规定:

.crt #证书文件的标识

 

.csr #证书申请文件的标识  证书申请完成后,这个证书申请文件就没啥用了

 

.key #私钥的标识  .pem也是私钥的标识,但是windows不是别pem结尾的文件

一个证书申请文件只能申请一次证书。

实现一个申请文件申请多个证书的方法;

1

2

3

4

5

6

7

root@CentOS8 CA]# pwd

/etc/pki/CA

[root@CentOS8 CA]# cat index.txt.attr

unique_subject = yes

 

 

unique_subject = yes  #把yes变为no就可以了

证书的吊销

1

openssl ca -revoke /PATH/FILE

例如:

1

2

3

4

5

6

7

8

9

10

11

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt

Using configuration from /etc/pki/tls/openssl.cnf

Revoking Certificate 0F.

Data Base Updated

 

[root@CentOS8 CA]# openssl ca -status 0F

Using configuration from /etc/pki/tls/openssl.cnf

0F=Revoked (R)

 

[root@CentOS8 CA]# cat /etc/pki/CA/index.txt

R   250710065307Z   221014072459Z   0F  unknown /C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成证书吊销列表文件

公开被吊销的文件。其他用户可以获取已经吊销了的证书文件列表

1

2

3

4

5

6

7

#需要创建一个clinumer文件才可以  吊销证书也需要一个吊销证书的number 类似于index.txt

 

#这个文件默认不存在,需要手动创建出来

 

echo 01 > /etc/pki/CA/crlnumber

 

openssl ca -gencrl -out /etc/pki/CA/crl.pem   #证书吊销文件的路径是约定好的

版权声明 : 本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务和不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权, 违法违规的内容, 请发送邮件至2530232025#qq.cn(#换@)举报,一经查实,本站将立刻删除。

您可能感兴趣的文章 :

原文链接 : https://www.cnblogs.com/heyongshen/p/16790924.html
    Tag :
相关文章
推荐阅读
最新更新
友情链接
  • 本站所有内容来源于互联网或用户自行发布,本站仅提供信息存储空间服务,不拥有版权,不承担法律责任。如有侵犯您的权益,请您联系站长处理!
  • Copyright © 2017-2022 F11.CN All Rights Reserved. F11站长开发者网 版权所有 | 苏ICP备2022031554号-1 | 51LA统计