[读书笔记]openssl证书制作

 

 

1. CA命令

 

Openssl中CA功能命令为 ca，所以第一个关注的section就是ca了。这个section非常简单，仅包含一个key：default_ca。

 

三个default_crl_days，default_days和default_md，对于命令行中的crldays，days和md选项，可以通过使用这些选项来覆盖配置文件中设定的值。

 

Policy定义了一个和证书的DN（distinguished name）字段相同的key集合。对于每一个key或字段，有三个合法的取值：match，supplied，或者optional。Match表示证书请求（CSR）中字段必须和CA证书中的字段匹配；supplied表示证书请求中必须包含此字段。Optional表示该字段在证书请求中是可选的。

 

X509_extensions指定了CA签发证书时加入的一个包含该扩展的section。如果缺少该key，openssl创建的是x.509v1证书，但如果存在即使是空，创建的则是x.509V3。例子中唯一包含的扩展就是basicConstraints，我们设置为false，所以我们签发的证书就不能再做ca证书了。

[ ca ] default_ca = exampleca [ exampleca ] dir = /opt/exampleca certificate = $dir/cacert.pem database = $dir/index.txt new_certs_dir = $dir/certs private_key = $dir/private/cakey.pem serial = $dir/serial default_crl_days = 7 default_days = 365 default_md = md5 policy = exampleca_policy x509_extensions = certificate_extensions [ exampleca_policy ] commonName = supplied stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName = supplied organizationalUnitName = optional [ certificate_extensions ] basicConstraints = CA:false 

 

2. 创建自签名证书

 

 [ req ] default_bits = 2048 default_keyfile = /opt/exampleca/private/cakey.pem default_md = md5 prompt = no distinguished_name = root_ca_distinguished_name x509_extensions = root_ca_extensions [ root_ca_distinguished_name ] commonName = Example CA stateOrProvinceName = Virginia countryName = US emailAddress = ca@exampleca.org organizationName = Root Certification Authority [ root_ca_extensions ] basicConstraints = CA:true  

 

可以签发证书的ca同样可以用来签发CRLs。

Req中Default_bits字段用来指定openssl生成证书的私钥长度为2048字节。如果不指定，默认为512字节。对于CA证书，有必要使用长的密钥更安全。

 

Default_keyfile指定openssl新生成的私钥保存位置。Default_md指定对密钥签名所使用的消息摘要算法。推荐使用SHA1，而不是MD5。

 

Prompt和distinguished_name字段指定openssl从什么地方获取信息填充证书的distinguished name。设置prompt为no，表示指定从distinguished_name字段获取信息。默认是从用户命令行提示输入获取信息，所以这里必须关掉它。Distinguished_name字段定义的root_ca_distinguished_name中的字段值会放入到证书的每个字段中去。

 

最后是x509_extensions指定证书中包含的扩展项。该项中名为root_ca_extensions对应的值为true，表示该证书可以用来签发证书和CRLs。

 

如下命令行中选项很少，因为我们在配置文件中指定了大多数的选项。x509表示生成自签名证书。

 

Openssl req –x509 –newkey ras –out cacert.pem –outform PEM 

 

当运行该命令时，openssl会提示两次输入密钥来加密私钥文件。

证书生成完成后，可以使用如下命令打印查看证书信息。

 

Openssl x509 –in cacert.pem –text –noout 

 

3. CSR（Certificate Sign Request）文件生成

很奇怪《network security with openssl》书中介绍生成自签名证书时使用从配置文件中获取DN信息，这里介绍CSR文件反倒是交互式的。其实这里也一样，事先在配置文件中设置好签发证书的DN，就不要命令行中输入那么多信息了。

配置项同req。

 

指定req的扩展为ca

openssl req -new -key ca2.key -out ca2.csr -config openssl.cnf -reqexts v3_req 

 

查看CSR文件，添加的扩展是ca。

Openssl req –in testreq.pem –text –noout 

 

打印信息如下：

Certificate Request: Data: Version: 0 (0x0) Subject: C=CN, ST=JiangSu, L=NanJing, O=xx, OU=xx, CN=ca_2_level/emailAddress=ca_2_level@xx.com.cn Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d7:05:fa:bb:c9:40:b9:c9:34:b2:f7:ff:2a:6a: 23:f9:43:57:e9:84:ab:7e:f1:bc:1e:27:e8:70:55: 73:d4:b8:38:ad:d8:ad:34:5d:30:ec:e7:c2:e7:25: fd:39:44:f0:bd:a8:3b:b2:89:8a:39:d2:75:d1:39: c1:72:51:72:4c:49:9f:be:f9:c5:60:fb:7f:98:8d: 09:0e:d3:48:49:66:04:e6:6d:85:8a:c9:70:71:9e: 5e:b9:5a:fa:f3:e5:61:ef:b8:0b:68:f4:d5:d3:c1: 96:74:ed:08:4d:33:aa:ef:fe:87:ff:86:06:77:11: eb:30:25:32:72:79:05:63:ad Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign, CRL Sign Signature Algorithm: sha1WithRSAEncryption 91:e2:6a:17:77:0a:1f:c9:0f:30:5b:a3:7e:42:4d:ef:99:4f: 60:9a:7a:17:53:0d:06:de:2d:3b:3b:36:b7:18:f1:41:47:72: 35:a8:4a:f3:79:78:52:ec:3c:90:f2:4d:90:cc:92:77:11:3d: 36:41:59:f4:ad:db:ec:b7:9d:16:45:6e:55:70:23:22:40:0f: 97:29:a2:66:61:13:8e:a7:3e:b9:27:94:25:ac:2c:37:19:5b: a0:ff:f1:03:00:78:57:85:19:4f:ca:a8:08:2a:6e:77:29:01: 39:95:b0:8e:8c:26:91:d1:d2:05:2b:3e:1d:4a:f8:76:90:02: 35:d4 

 

4.  对CSR进行签名：

 

Openssl ca -in ca2.csr -out ca2.crt -cert ca.crt -keyfile ca.key -config openssl.cnf -extensions v3_ca 

 

输出如下：

Using configuration from openssl.cnf Loading 'screen' into random state - done Enter pass phrase for ca.key: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 299 (0x12b) Validity Not Before: Mar 1 12:06:54 2010 GMT Not After : Feb 23 12:06:54 2035 GMT Subject: countryName = CN stateOrProvinceName = JiangSu localityName = NanJing organizationName = xx organizationalUnitName = xx commonName = ca_2_level emailAddress = ca_2_level@xx.com.cn X509v3 extensions: X509v3 Subject Key Identifier: EE:A8:D7:F4:7C:DE:62:CF:CF:71:51:7A:81:C8:8C:73:B4:57:DF:EA X509v3 Authority Key Identifier: keyid:5F:D9:74:27:F2:5D:F9:F0:F9:E5:5E:22:9E:D8:2B:62:5A:65:D8:DD DirName:/C=CN/ST=JiangSu/L=NanJing/O=xx/OU=xx/CN=xx/emailAddress=xx.xx@xx.com.cn serial:9D:3D:82:BB:2D:D9:72:0A X509v3 Basic Constraints: CA:TRUE Certificate is to be certified until Feb 23 12:06:54 2035 GMT (9125 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated 

 

如果CSR中添加的req extensions好像没什么用，还是取决ca签发命令中的extension。对于一般的用户证书，那么extension默认为user_cert即可，这里使用的是ca_cert，表示这是一个多级证书，签发的证书可以作为ca再签发下一级证书。

 

 

4.证书验证

生成的证书可以使用openssl命令来简单验证一下，如果是多级证书，可以把多个ca证书拷到ca.crt一个文件中。

openssl verify -CAfile ca.crt -verbose client.crt 

 

CRL文件待续。

 

参考书籍：network security with openssl