您现在的位置是：首页 > 编程语言学习 > 其他编程语言 > 文章正文其他编程语言

使用openssl实现私有CA的搭建和证书的颁发

2022-10-17 11:15:38 其他编程语言

简介这篇文章主要介绍了使用openssl实现私有CA的搭建和证书的颁发,使用openssl搭建私有CA，openssll和私有CA搭建相关的配置文件，里面包含了很...

这篇文章主要介绍了使用openssl实现私有CA的搭建和证书的颁发,使用openssl搭建私有CA，openssll和私有CA搭建相关的配置文件，里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建，需要的朋友可以参考下

CA的相关该概念

PKI：Public Key Infrastructure 公共密钥加密体系
CA：Certificate Authority，证书签发机构.实现身份的验证的一个机构。

CA工作逻辑

A和B通信需要将彼此的公钥传递给对方，但是直接传递公钥不安全。
通过将公钥传递给认证机构，认证机构对公钥进行签名（私钥加密，公钥解密）并加上一些属性信息。
CA机构将证书制作完成后再返还给用户。
用户将证书发送给需要通信的一方，对方通过使用CA机构的公钥来进行解密得到他的公钥。

根CA：根CA用于管理下级CA，子CA向根CA获取授权，使得它能给用户颁发证书。

Cert：证书

证书：CA对用户公钥进行签名后形成的一个文件。

证书的来源：

自签名证书
CA机构颁发的证书

CA机构颁发的证书流程：

用户生成证书请求文件：.csr
将证书请求文件发送给CA
CA进行签名并颁发证书

CSR是英文Certificate Signing Request的缩写,即证书签名请求

私有CA的搭建

可以通过以下工具来搭建私有CA

OpenCA
openssl

使用openssl搭建私有CA：

openssll和私有CA搭建相关的配置文件

里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建。

[root@CentOS8 tls]#  vim /etc/pki/tls/openssl.cnf

[ ca ]

default_ca  = CA_default# 默认使用的CA

####################################################################

[ CA_default ]

dir = /etc/pki/CA   # 存放和CA相关的文件的目录（CentOS7这个文件默认存在）

certs   = $dir/certs# 存放颁发的证书  Cert：证书

crl_dir = $dir/crl  # 存放被吊销的证书

database= $dir/index.txt# 存放ca的索引（需要人为创建）

new_certs_dir   = $dir/newcerts # 存放新证书的位置

certificate = $dir/cacert.pem   # ca的自签名证书

serial  = $dir/serial   # 证书的编号（第一次需要人为创建并编号，后面会自动递增） serial：连续的

crlnumber   = $dir/crlnumber# 证书吊销列表的编号

crl = $dir/crl.pem  # 证书吊销列表的文件

private_key = $dir/private/cakey.pem# CA的私钥

x509_extensions = usr_cert  # The extensions to add to the cert

name_opt= ca_default# Subject Name options

cert_opt= ca_default# Certificate field options

policy  = policy_match  #指定使用的匹配策略

# For the CA policy

[ policy_match ]

countryName = match

stateOrProvinceName = match

organizationName= match

organizationalUnitName  = optional

commonName  = supplied

emailAddress= optional

三种策略：match匹配、optional可选、supplied提供

match：要求申请填写的信息跟CA设置信息必须一致(前三项)
optional：可有可无，跟CA设置信息可不一致
supplied：必须填写这项申请信息

范例:CentOS8搭建私有CA

流程：

1.创建对应的文件和目录（创建的文件和目录需要和配置文件里面的信息对应）

2.生成CA自己的私钥

3.利用CA的私钥生成自签名证书

1. 创建对应的文件和目录

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

mkdir: created directory '/etc/pki/CA/certs' #存放颁发的证书文件

mkdir: created directory '/etc/pki/CA/crl' #存放吊销的证书文件

mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的证书文件

mkdir: created directory '/etc/pki/CA/private' #存放CA自己的私钥

#证书的数据库文件：存放证书的颁发等信息，不需要人工维护里面的内容，只需要创建对应的文件就行了，会自动往里面写入数据的

[root@centos8 ~]# touch /etc/pki/CA/index.txt

#颁发证书的序号（十六进制）：第一个证书颁发的时候使用的就是这个编号，后续会自动递增

[root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私钥

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048

Generating RSA private key, 2048 bit long modulus (2 primes)

..........................+++++

........................................................................+++++

e is 65537 (0x010001)

3.颁发自签名证书

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:SC

Locality Name (eg, city) [Default City]:CD

Organization Name (eg, company) [Default Company Ltd]:SX

Organizational Unit Name (eg, section) []:LL

Common Name (eg, your name or your server's hostname) []:tom

Email Address []:111

选项:

-new：创建一个新的证书，生成新证书签署请求

-x509：表示证书的格式，专用于CA生成自签证书

-key：生成请求时用到的私钥文件

-days n：证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存路径

查看自签名证书的方法

查看自签名证书的信息

[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

-in:指定输入的文件

-noout：不输出为文件

-text：以文本方式来进行显示

说明：颁发自签名证书的时候会要求输入需要输入国家、身份、组织等信息。

用户向私有CA申请证书的流程

1.生成私钥文件

2.通过私钥文件生成证书申请文件，若是match这种策略。填写的国家省组织必须一致

3.CA颁发证书

4.查看证书

1.生成私钥文件

私钥一般使用key作为后缀要标识

[root@CentOS8 CA]# mkdir /data/app1

[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)

.................................+++++

...............................................................................................+++++

e is 65537 (0x010001)

2.通过私钥文件生成证书申请文件

证书申请文件的后缀一般都是以csr为后缀作为标识

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN #国家

State or Province Name (full name) []:CN #省份

Locality Name (eg, city) [Default City]:CN #组织

Organization Name (eg, company) [Default Company Ltd]:CN

Organizational Unit Name (eg, section) []:CN

Common Name (eg, your name or your server's hostname) []:CN

Email Address []:CN

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

说明：

采用match这种策略,默认有三项内容必须和CA一致：国家，省份，组织，如果不同，会出现下面的提示

如果采用的是option这种策略的话就不用保持一致都可以

3. CA 颁发证书

ca需要使用用户的证书申请文件才能颁发证书,利用证书申请文件里面的用户私钥来实现数字签名。

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr  -out /etc/pki/CA/certs/app1.crt -days 1000

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 15 (0xf)

Validity

Not Before: Oct 14 06:53:07 2022 GMT

Not After : Jul 10 06:53:07 2025 GMT

Subject:

countryName   = CN

stateOrProvinceName   = CN

organizationName  = CN

organizationalUnitName= CN

commonName= CN

emailAddress  = CN

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A

X509v3 Authority Key Identifier:

keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A



Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

[root@CentOS8 CA]# tree

.

├── cacert.pem

├── certs

│   └── app1.crt #给用户生成的生成的证书文件

├── crl

├── index.txt

├── index.txt.attr

├── index.txt.old  #前一个文件的备份

├── newcerts

│   └── 0F.pem #和app1.crt是同一个东西，自动生成的一个备份文件

├── private

│   └── cakey.pem

├── serial

└── serial.old

4 directories, 9 files

#serial：存放的是下一个证书的证书编号

查看证书的有效性

[root@CentOS8 CA]# openssl ca -status 0F #0F就是这个证书的标号

Using configuration from /etc/pki/tls/openssl.cnf

0F=Valid (V)

V：标识生效的 R：标识无效的证书

查看证书的信息

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer

issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

证书文件后缀

后缀规定：

.crt #证书文件的标识

.csr #证书申请文件的标识证书申请完成后，这个证书申请文件就没啥用了

.key #私钥的标识 .pem也是私钥的标识，但是windows不是别pem结尾的文件

一个证书申请文件只能申请一次证书。

实现一个申请文件申请多个证书的方法；

root@CentOS8 CA]# pwd

/etc/pki/CA

[root@CentOS8 CA]# cat index.txt.attr

unique_subject = yes

unique_subject = yes #把yes变为no就可以了

证书的吊销

openssl ca -revoke /PATH/FILE

例如：

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt

Using configuration from /etc/pki/tls/openssl.cnf

Revoking Certificate 0F.

Data Base Updated

[root@CentOS8 CA]# openssl ca -status 0F

Using configuration from /etc/pki/tls/openssl.cnf

0F=Revoked (R)

[root@CentOS8 CA]# cat /etc/pki/CA/index.txt

R 250710065307Z 221014072459Z 0F unknown /C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成证书吊销列表文件

公开被吊销的文件。其他用户可以获取已经吊销了的证书文件列表

#需要创建一个clinumer文件才可以吊销证书也需要一个吊销证书的number 类似于index.txt

#这个文件默认不存在，需要手动创建出来

echo 01 > /etc/pki/CA/crlnumber

openssl ca -gencrl -out /etc/pki/CA/crl.pem #证书吊销文件的路径是约定好的