OpenSSL(私有CA)

最新推荐文章于 2023-01-08 16:05:57 发布

weixin_34185364

最新推荐文章于 2023-01-08 16:05:57 发布

阅读量96

点赞数

原文链接：http://blog.51cto.com/13921683/2174601

版权

一、相关环境
1.系统环境
OpenSSL(私有CA)
2.软件环境

二、OpenSSL相关文件

1.配置文件

OpenSSL(私有CA)
2.相关选项

二、OpenSSL：创建私有证书签发机构CA步骤

在确定配置为CA的服务器主机上生成一个自签证书，并为CA提供所需要的目录及文件；

在真正的通信过程中CA服务器主机不需要网络参与，只需要参与到签名中，不需要提供服务

  1.生成私钥；

~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

因为在默认配置文件中默认配置/etc/pki/CA/private/cakey.pem，所以指定目录和文件名要和配置文件一致

wKioL1aPCOWTno1lAAHDWpax0Kw301.jpg

  2.生成CA自签证书；

          req - PKCS#10 certificate request and certificate generating utility，证书请求及生成工具；

[root@localhost tmp]# man req

wKiom1aPCL6xJ27aAADQWnrHrbY384.jpg

~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

              /etc/pki/CA/cacert.pem：配置文件中第一的目录及文件名称

-new：生成新证书签署请求；

-x509：生成自签格式证书，专用于创建私有CA时；

-key：生成请求时用到的私有文件路径；

-out：生成的请求文件路径；如果自签操作将直接生成签署过的证书；

-days：证书的有效时长，单位是day；

注意：

1)-key /etc/pki/CA/private/cakey.pem指明的是私钥的位置，知识因为此处会自动抽取出私钥中的公钥

2)req只能发起签署请求，需要加-x509参数实现自己发出请求，自己签署。非自签无需增加此参数

wKiom1aPCMjBB-SEAAPoGzliXHo264.jpg

[root@localhost tmp]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

      ====================================填写证书请求相关信息=======================================

You are about to be asked to enter information that will be incorporated into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]: # 两个字符表示的国家代码，CN为中国

State or Province Name (full name) []: # 省或洲的完整名称

Locality Name (eg, city) [Default City]: # 所在位置的名称(默认为城市)

Organization Name (eg, company) [Default Company Ltd]: # 组织机构名称(默认为公司)

Organizational Unit Name (eg, section) []: # 组织机构单元名称(eg.部门)

Common Name (eg, your name or your server's hostname) []: # 持有者名或者所在服务器主机名(即域名)

Email Address []: # 管理员邮件地址，可以省略

    ================================================================================================

  3.为CA提供所需的目录及文件；

        ~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}   #当不存在时需要创建签发证书、吊销证书、新证书目录

        ~]# touch  /etc/pki/CA/{serial,index.txt}   #创建证书序列号文件、证书索引文件

        ~]# echo  01 > /etc/pki/CA/serial          # 第一次创建的时候需要给予证书序列号

wKiom1aPCNGROuarAALaFb1jY-0436.jpg

三、OpenSSL；服务申请证书签署实现SSL安全通信

 要用到证书进行安全通信的服务器，需要向CA请求签署证书;

需要签署的服务无需和CA证书签署机构主机在同一台服务器上。

    此处以httpd服务为例进行演示，步骤如下：

演示环境：

httpd服务放置172.16.249.210主机(此处为rpm包安装)

wKioL1aPCQDDWkCEAAEYveFMHKI944.jpg

CA私有签机构放置172.16. 249.18主机：

wKioL1aPCQrwsRifAAIBzb8XPA0330.jpg

  1.用到证书的服务器生成私钥；

         ~]# mkdir  /etc/httpd/ssl  

         ~]# cd  /etc/httpd/ssl

         ~]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)   # 生成私钥

              生成httpd服务的私钥创建时候无需在/etc/pki/CA创建，/etc/pki/CA目录仅在创建CA主机时候

wKiom1aPCOThiloPAAGASNpnvNM524.jpg

  2.生成证书签署请求

        ~]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365

                1) *.csr表示证书签署请求文件

                2)要保证和签署机构CA签署机构信息一致

wKiom1aPCO3TjJrZAANreKGDHqE787.jpg

  3.将请求通过可靠方式发送给CA主机

          ~]# scp  /etc/httpd/ssl/httpd.csr  root@172.16.249.18:/tmp/

wKioL1aPCRjD***2AACu_WHGEiM513.jpg

  4.在CA主机上签署证书

         ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

                      *.crt：表示证书文件

                      -days ：签署证书的有效期

注意：此处需要自己去查看信息是否正确，并确定是否给予签署证书

wKioL1aPCSLiKmtaAAPZ6a-sqPs536.jpg

  5.查看所签署的证书信息

          方法一：~]# cat  /etc/pki/CA/index.txt

wKiom1aPCPvjdxCfAAC8VggKWf0855.jpg

                      V：表示已经签署的

                      01：表示证书序列号

                      /C=CN/ST=Beijing/O=… ...：  表示主题信息(主题标示)

         方法二：查看证书中的信息(CA或者服务端均可)：

        ~]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

                       -serial ：序列号   -subject：主题信息

wKiom1aPCP-gmS13AADaLgDGKfE704.jpg

  6.将CA签署机构的.crt证书发送给服务器

       ~]#  scp  /etc/pki/CA/certs/httpd.crt  root@172.16.249.210:/etc/httpd/ssl

    注意：第一次进行主机间基于ssh的scp操作会接收一个证书，Queue要你那认证

wKioL1aPCTDz4NpfAAIKbQcNO1s991.jpg

7.删除服务器和CA主机上签署前的*.csr文件，确保安全

httpd主机：~]# rm -rf /etc/httpd/ssl/httpd.csr

CA主机：~]# rm -rf /tmp/httpd.csr

四、OpenSSL：私有CA证书签署机构吊销证书

1.客户端获取要吊销的证书的serial(在使用证书的主机上执行)

~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

wKioL1aPCTTiBKRtAAGKNLOArLQ073.jpg

2.CA主机吊销证书

     先根据客户提交的serial和subject信息，对比其与本机数据库index.txt中存储的是否一致；

     在/etc/pki/CA/crets/*下生成证书后，会在/etc/pki/CA/newcrets/*以对应证书命名为SERIAL.pem文件存放

wKiom1aPCRPSaUfiAANKOGMJ9OQ686.jpg

 吊销：

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 其中SERIAL要换成证书真正的序列号：eg. 01.pem

wKioL1aPCUCQ72KSAAC-hpFwx2o912.jpg

3.生成吊销证书的吊销编号（第一次吊销证书时执行）

echo 01 > /etc/pki/CA/crlnumber

wKiom1aPCRrx6JiSAAB1Kg9aYOk479.jpg

4.更新证书吊销列表

openssl ca -gencrl -out thisca.crl

wKiom1aPCRyB8sqXAACEmF02TAg768.jpg

5.查看crl文件：

openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

转载于:https://blog.51cto.com/13921683/2174601

weixin_34185364

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
OpenSSL(私有CA)

一、相关环境1.系统环境2.软件环境二、OpenSSL相关文件1.配置文件2.相关选项二、OpenSSL：创建私有证书签发机构CA步骤在确定配置为CA的服务器主机上生成一个自签证书，并为CA提供所需要的目录及文件；在真正的通信过程中CA服务器主机不需要网络参与，只需要参与到签名中，不需要提供服务 1.生成私钥；~]# (umask 077; openssl genrsa -out ...
复制链接

扫一扫