PKI介绍及搭建Linux私有CA
PKI 介绍
PKI的诞生主要是为了防范中间人攻击。中间人攻击如下图所示:
PKI 概念
PKI(Public Key Infrastructure):公钥基础设施,主要包括以下四个部分:
- 签证机构(CA)
- 注册机构(RA)
- 证书吊销列表(CRL)
- 证书存取库
X.509v3:定义了证书的结构以及认证协议标准。
- 版本号
- 序列号
- 签名算法ID
- 发行者名称
- 有效期限
- 主体名称
- 主体公钥
- 发行者的唯一标识
- 主体的唯一标识、
- 扩展
- 发行者的签名
CA
CA一般有公共信任的CA和私有CA。
建立私有CA使用的工具:OpenSSL 和 OpenCA 。
# openssl命令
配置文件:/etc/pki/tls/openssl.cnf
构建私有CA
在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可。
步骤1:生成私钥
# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
[root@LeeMumu ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
........................++
........................++
e is 65537 (0x10001)
[root@LeeMumu CA]# ll /etc/pki/CA/private/cakey.pem
-rw-------. 1 root root 3247 Jul 19 21:50 /etc/pki/CA/private/cakey.pem
[root@LeeMumu ~]# cat /etc/pki/CA/private/cakey.pem
-----BEGIN RSA PRIVATE KEY-----
MIIJKgIBAAKCAgEAzZJJ2dvomneSkZQpI4t//UUaEj/duUigQ7fVmbqbQvqEGzQU
86UaG7QgNiL6n1f9TQ8X+fbaQCofnWzTNof/Qkq3k4QPDLqrTQ4b646EZpihoc99