自己做CA自签名证书生成

转载自：https://wangbin.io/blog/it/https-ca.html

自己做CA

最近chrome提示https证书错误，缺少subjectAltName，查了下解决方法，更新下。 

一. 简介

之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构，它的根证书被各种操作系统和浏览器内置信任，所以由它签发的证书也会被信任。

最近做了个iOS ipa包上传下载程序，也需要使用https链接，上网查了下发现可以自己签名证书，所以实践了下，下面是详细步骤。

特别推荐下面这个网站，讲的是...非常详细。

OpenSSL Certificate Authority — Jamie Nguyen

教程里有些功能了解就可以了，我们不需要使用，所以我去掉了其中一些步骤，简单好用些。

二. CA

自己当CA，就是用openssl命令生成自己的根证书，让用户安装信任它，那么所有用这个根证书签名的证书，就也可以被信任啦。

所以做为CA，我们首先要生成自己的根证书ca.cert.pem，而生成根证书需要ca.key.pem。

开始

创建/root/ca文件夹，所有CA的操作都会在这个文件夹执行。

1. # mkdir /root/ca

2. # cd /root/ca

3. # mkdir certs crl newcerts private

4. # chmod 700 private

5. # touch index.txt

6. # echo 1000 > serial

7. # touch openssl.cnf

/root/ca：CA文件夹

/root/ca/certs：新签署证书和根证书存放的位置

/root/ca/crl：证书请求文件存放位置

/root/ca/newcerts：新签署证书存放的位置，是/root/ca/certs的备份

/root/ca/private：ca.key.pem存放位置，千万别丢失

/root/ca/index.txt：证书签名的纪录

/root/ca/serial：下一次证书签名的序列号，保存到index.txt

拷贝下面内容到/root/ca/openssl.cnf

1. # OpenSSL root CA configuration file.

2. # Copy to `/root/ca/openssl.cnf`.

4. [ ca ]

5. # `man ca`

6. default_ca = CA_default

8. [ CA_default ]

9. # Directory and file locations.

10. dir = /root/ca

11. certs = $dir/certs

12. crl_dir = $dir/crl

13. new_certs_dir = $dir/newcerts

14. database = $dir/index.txt

15. serial = $dir/serial

16. RANDFILE = $dir/private/.rand

18. # The root key and root certificate.

19. private_key = $dir/private/ca.key.pem

20. certificate = $dir/certs/ca.cert.pem

22. # For certificate revocation lists.

23. crlnumber = $dir/crlnumber

24. crl = $dir/crl/ca.crl.pem

25. crl_extensions = crl_ext

26. default_crl_days = 30

28. # SHA-1 is deprecated, so use SHA-2 instead.

29. default_md = sha256

31. name_opt = ca_default

32. cert_opt = ca_default

33. default_days = 3750

34. preserve = no

35. policy = policy_strict

37. [ policy_strict ]

38. # The root CA should only sign intermediate certificates that match.

39. # See the POLICY FORMAT section of `man ca`.

40. countryName = match

41. stateOrProvinceName = match

42. organizationName = match

43. organizationalUnitName = optional

44. commonName = supplied

45. emailAddress = optional

47. [ policy_loose ]

48. # Allow the intermediate CA to sign a more diverse range of certificates.

49. # See the POLICY FORMAT section of the `ca` man page.

50. countryName = optional

51. stateOrProvinceName = optional

52. localityName = optional

53. organizationName = optional

54. organizationalUnitName = optional

55. commonName = supplied

56. emailAddress = optional

58. [ req ]

59. # Options for the `req` tool (`man req`).

60. default_bits = 2048

61. distinguished_name = req_distinguished_name

62. string_mask = utf8only

64. # SHA-1 is deprecated, so use SHA-2 instead.

65. default_md = sha256

67. # Extension to add when the -x509 option is used.

68. x509_extensions = v3_ca

70. [ req_distinguished_name ]

71. # See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

72. countryName = Country Name (2 letter code)

73. stateOrProvinceName = State or Province Name

74. localityName = Locality Name

75. 0.organizationName = Organization Name

76. organizationalUnitName = Organizational Unit Name

77. commonName = Common Name

78. emailAddress = Email Address

80. # Optionally, specify some defaults.

81. countryName_default = CN

82. stateOrProvinceName_default = JiangSu

83. localityName_default = NanJing

84. 0.organizationName_default = wangbin

85. organizationalUnitName_default = wangbin

86. emailAddress_default = webmaster@wangbin.io

88. [ v3_ca ]

89. # Extensions for a typical CA (`man x509v3_config`).

90. subjectKeyIdentifier = hash

91. authorityKeyIdentifier = keyid:always,issuer

92. basicConstraints = critical, CA:true

93. keyUsage = critical, digitalSignature, cRLSign, keyCertSign

95. [ v3_intermediate_ca ]

96. # Extensions for a typical intermediate CA (`man x509v3_config`).

97. subjectKeyIdentifier = hash

98. authorityKeyIdentifier = keyid:always,issuer

99. basicConstraints = critical, CA:true, pathlen:0

100. keyUsage = critical, digitalSignature, cRLSign, keyCertSign

102. [ usr_cert ]

103. # Extensions for client certificates (`man x509v3_config`).

104. basicConstraints = CA:FALSE

105. nsCertType = client, email

106. nsComment = "OpenSSL Generated Client Certificate"

107. subjectKeyIdentifier = hash

108. authorityKeyIdentifier = keyid,issuer

109. keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment

110. extendedKeyUsage = clientAuth, emailProtection

112. [ server_cert ]

113. # Extensions for server certificates (`man x509v3_config`).

114. basicConstraints = CA:FALSE

115. nsCertType = server

116. nsComment = "OpenSSL Generated Server Certificate"

117. subjectKeyIdentifier = hash

118. authorityKeyIdentifier = keyid,issuer:always

119. keyUsage = critical, digitalSignature, keyEncipherment

120. extendedKeyUsage = serverAuth

121. subjectAltName = @alt_names

123. [alt_names]

124. IP.1 = 127.0.0.1

125. IP.2 = 192.168.1.1

126. DNS.1 = wangbin.io

127. DNS.2 = ioptimi.wangbin.io

129. [ crl_ext ]

130. # Extension for CRLs (`man x509v3_config`).

131. authorityKeyIdentifier=keyid:always

133. [ ocsp ]

134. # Extension for OCSP signing certificates (`man ocsp`).

135. basicConstraints = CA:FALSE

136. subjectKeyIdentifier = hash

137. authorityKeyIdentifier = keyid,issuer

138. keyUsage = critical, digitalSignature

139. extendedKeyUsage = critical, OCSPSigning

具体的解释可以看上面的链接(真的是很推荐)，这里我拣重要的说下

dir = /root/ca：这里需要改为上面的CA文件夹

policy = policy_strict：签CA证书使用strict策略

countryName_default = CN

0.organizationName_default = wangbin CA

这两个是国家和组织名字，会显示到生成的证书上。简单的签个CA证书，我们只设置这两个值，其他都是空。

[ v3_ca ]：签CA证书需要这个配置

[ server_cert ]：接下来签服务端证书需要这个

生成root key

1. # cd /root/ca

2. # openssl genrsa -aes256 -out private/ca.key.pem 4096

4. 输入两次密码wangbin123456,这个是很重要的密码，设置严格点。

6. # chmod 400 private/ca.key.pem

生成root certificate

1. # cd /root/ca

2. # openssl req -config openssl.cnf \

3. -key private/ca.key.pem \

4. -new -x509 -days 7500 -sha256 -extensions v3_ca \

5. -out certs/ca.cert.pem

7. 根据提示输入key的密码：wangbin123456

8. 然后一值回车下去，使用默认值

10. # chmod 444 certs/ca.cert.pem

-days 7300：有效期20年

到这一步ca.key.pem(root key)和ca.cert.pem(root certificate)都已经生成好了，路径如下

1. /root/ca/private/ca.key.pem

2. /root/ca/certs/ca.cert.pem

至此生成根证书完成。

ca.key.pem密码是wangbin123456，非常重要，需要好好保存。

ca.cert.pem就是根证书，需要把它发给用户，让用户安装信任它，这样以后我们用这个证书签名的证书就都可以被信任了。

三. 生成服务端证书

CA角色要做的工作已经完成了，下面我们以用户这个角色，生成一个tomcat和nginx可以使用的服务端证书。

这里假设我们网站的域名或ip地址是127.0.0.1，那么在ca同级目录下创建127.0.0.1文件夹，生成服务端证书操作都在这个目录下进行。

1. # mkdir /root/127.0.0.1

2. # cd /root/127.0.0.1

4. # openssl genrsa -out server.key 2048

5. # openssl req -new -key server.key -out server.csr

7. 会出现提示，尽量全部都填写，防止以后浏览器对证书验证变得严格，又要重新签名。关键数据重复填写就可以了。

8. Country Name输入:CN

9. State or Province Name输入:JiangSu

10. Locality Name(eg, city)输入:NanJing

11. Organization Name (eg, company)输入:wangbin.io

12. Organizational Unit Name (eg, section)输入:wangbin.io

13. Common Name输入域名或ip：127.0.0.1

14. Email Address:xxx@qq.com

16. extra信息

17. A challenge password输入:server123456

18. An optional company name []:wangbin.io

openssl genrsa -out server.key 2048：这个命令后面2048代表加密位数，严格的使用4096，例如上面的根证书使用的就是这个，一般使用2048和1024就可以了，数值越大https链接等待时间越长。

到这儿，我们服务端key(server.key)和证书请求(server.csr)就生成啦。

接下来拷贝server.csr到ca/crl并改名为127.0.0.1.csr.pem

cp server.csr ../ca/crl/127.0.0.1.csr.pem

然后角色切换到CA角色，对这个请求进行处理。

首先修改下/root/ca/openssl.cnf

1. policy = policy_strict

2. 改为

3. policy = policy_loose

policy_strict只在生成根证书的时候使用，其他时候使用loose策略就可以啦。

2017.08.31修改:将下面IP或者DNS更新为要签名的

1. [alt_names]

2. IP.1 = 127.0.0.1

3. IP.2 = 192.168.1.1

4. DNS.1 = wangbin.io

5. DNS.2 = ioptimi.wangbin.io

执行命令，生成证书

1. # cd /root/ca

2. # openssl ca -config openssl.cnf \

3. -extensions server_cert -days 375 -notext -md sha256 \

4. -in crl/127.0.0.1.csr.pem \

5. -out certs/127.0.0.1.cert.pem

-days 375:有效期375天,默认值也是375天

这时候，你会发现

• /root/ca/certs下多了127.0.0.1.cert.pem(这个就是生成好的证书)
• newcerts下面多了1000.pem(这个是证书备份，1000是从serial中取的)

• /root/ca/index.txt多了行纪录

  1. /root/ca/index.txt

  2. V 171014020124Z 1000 unknown /C=CN/ST=Some-State/O=Internet Widgits Pty Ltd/CN=127.0.0.1

• /root/ca/serial中的值+1变成了1001。

将/root/ca/certs/127.0.0.1.cert.pem证书发给用户，CA角色的工作就完成啦。

角色切换回用户，我们将CA发给我们的127.0.0.1.cert.pem拷贝到/root/127.0.0.1目录下，并改名为server.crt

cp certs/127.0.0.1.cert.pem ../127.0.0.1/server.crt

这时我们目录下有下面三个文件

server.crt server.csr server.key

server.crt就是我们要的证书，我们可以配置nginx支持https啦。

nginx配置

1. server {

2. listen 443;

3. server_name 127.0.0.1;

5. ssl on;

6. ssl_certificate /root/127.0.0.1/server.crt;

7. ssl_certificate_key /root/127.0.0.1/server.key;

8. ssl_session_cache shared:SSL:1m;

9. ssl_session_timeout 10m;

10. ssl_ciphers HIGH:!aNULL:!MD5;

11. ssl_prefer_server_ciphers on;

13. location / {

14. proxy_pass http://127.0.0.1;

15. }

17. location ~ ^(.*)\/\.svn\/ {

18. deny all;

19. }

20. }

要支持tomcat的话，我们还需要进行下面的操作。

1. # cd /root/127.0.0.1

2. # openssl pkcs12 -export \

3. -in server.crt \

4. -inkey server.key \

5. -out server.p12

7. 输入两次密码：server123456

9. # keytool -importkeystore -v \

10. -srckeystore server.p12 \

11. -srcstoretype pkcs12 \

12. -srcstorepass server123456 \

13. -destkeystore server.keystore \

14. -deststoretype jks \

15. -deststorepass server123456

操作后的文件目录

1. server.crt server.csr server.key

2. server.p12 server.keystore

tomcat配置

1. <Connector SSLEnabled="true" clientAuth="false"

2. keystoreFile="/root/127.0.0.1/server.keystore"

3. keystorePass="server123456"

4. maxThreads="150" port="8443" protocol="org.apache.coyote.http11.Http11Protocol" scheme="https" secure="true" sslProtocol="TLS"/>

结尾

以后如果需要生成别的服务端证书，我们就只用从三. 生成服务端证书开始就可以啦，是不是很easy.

最后

安装信任下我的根证书吧

点击下载

参考：

1. OpenSSL Certificate Authority — Jamie Nguyen

2. 使用itms-services安装ipa_RazerTang的专栏-CSDN博客