OpenSSL：实现创建私有CA、签署证书请求详解

共计 6649 个字符，预计需要花费 17 分钟才能阅读完成。

一、OpenSSL：CA默认配置信息

    1.证书签发机构 CA： 公共信任CA、私有CA

              建立私有 CA 方式如下：

小范围测试使用openssl、

大范围维护大量证书企业使用 OpenCA( 对openssl进行了二次封装，更加方便使用)

    2.openssl 配置文件：/etc/pki/tls/openssl.cnf

     [root@localhost tmp]# cat  /etc/pki/tls/openssl.cnf

该配置文件中以 “[ 配置段 ]”, 的形式配置相关信息

====================================openssl.cnf部分内容摘要=====================================

# OpenSSL example configuration file.

# This is mostly being used for generation of certificate requests.

######################################################################################

[ca]        #CA相关配置段

default_ca        = CA_default                # The default ca section                # 默认 CA 在[CA_default]配置

######################################################################################

[CA_default]        #  默认当做 CA 的工作环境

dir                = /etc/pki/CA                # Where everything is kept默认工作目录，变量形式

certs                = $dir/certs                # Where the issued certs are kept签发的证书位置

crl_dir                = $dir/crl                # Where the issued crl are kept吊销的证书位置

database        = $dir/index.txt                  # database index file.颁发过的证书索引文件

new_certs_dir        = $dir/newcerts                # default place for new certs.

certificate        = $dir/cacert.pem         # The CA certificate指明 CA 的自签证书

serial                = $dir/serial                 # The current serial number指明当前证书序列号，第一次要指定

crlnumber        = $dir/crlnumber        # the current crl number

# must be commented out to leave a V1 CRL

crl                = $dir/crl.pem                 # The current CRL

private_key        = $dir/private/cakey.pem# The private key，CA自己的私钥

RANDFILE        = $dir/private/.rand        # private random number file

x509_extensions        = usr_cert                # The extentions to add to the cert

# Comment out the following two lines for the “traditional”

# (and highly broken) format.

name_opt         = ca_default                # Subject Name options

cert_opt         = ca_default                # Certificate field options

default_days        = 365                        # how long to certify for证书的默认有效期

default_crl_days= 30                        # how long before next CRL默认声明有效期

default_md        = sha256                # use SHA-256 by default默认的生成算法

preserve        = no                        # keep passed DN ordering

####################################################################

[req]        # 向 CA 证书签署发起注册请求相关属性

default_bits                = 2048

default_md                = sha256

default_keyfile         = privkey.pem

distinguished_name        = req_distinguished_name

attributes                = req_attributes

x509_extensions        = v3_ca        # The extentions to add to the self signed cert

===============================================================================================

二、OpenSSL：创建私有证书签发机构 CA 步骤

在确定配置为 CA 的服务 器主机 上生成一个自签证书，并为 CA 提供所需要的目录及文件；

在真正的通信过程中 CA 服务器主机不需要网络参与，只需要参与到签名中，不需要提供服务

      1.生成私钥；

~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

    因为在默认配置文件中默认配置/etc/pki/CA/private/cakey.pem，所以指定目录和文件名要和配置文件一致

      2.生成 CA 自签证书；

              req – PKCS#10 certificate request and certificate generating utility，证书请求及生成工具；

  [root@localhost tmp]# man req

  ~]# openssl req  -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

                  /etc/pki/CA/cacert.pem：配置文件中第一的目录及文件名称 

  -new：生成新证书签署请求；

  -x509：生成自签格式证书，专用于创建私有 CA 时；

  -key：生成请求时用到的私有文件路径；

  -out：生成的请求文件路径；如果自签操作将直接生成签署过的证书；

  -days：证书的有效时长，单位是 day；

 注意：

1)-key /etc/pki/CA/private/cakey.pem指明的是私钥的位置，知识因为此处会自动抽取出私钥中的公钥

2)req只能发起签署请求，需要加 -x509 参数实现自己发出请求，自己签署。非自签无需增加此参数

[root@localhost tmp]#  openssl req  -new  -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

          ====================================填写证书请求相关信息=======================================

You are about to be asked to enter information that will be incorporatedinto your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ‘.’, the field will be left blank.

—–

Country Name (2 letter code) [XX]:      # 两个字符表示的国家代码，CN为中国

State or Province Name (full name) []:      # 省或洲的完整名称

Locality Name (eg, city) [Default City]:      # 所在位置的名称 ( 默认为城市)

Organization Name (eg, company) [Default Company Ltd]:    # 组织机构名称 ( 默认为公司)

Organizational Unit Name (eg, section) []:    # 组织机构单元名称 (eg. 部门)

Common Name (eg, your name or your server’s hostname) []:    # 持有者名或者所在服务器主机名 ( 即域名)

Email Address []:    # 管理员邮件地址，可以省略

        ================================================================================================

      3.为 CA 提供所需的目录及文件；

            ~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}  #当不存在时需要创建签发证书、吊销证书、新证书目录

            ~]# touch  /etc/pki/CA/{serial,index.txt}  #创建证书序列号文件、证书索引文件

            ~]# echo  01 > /etc/pki/CA/serial          # 第一次创建的时候需要给予证书序列号

三、OpenSSL；服务申请证书签署实现 SSL 安全通信

    要用到证书进行安全通信的服务器，需要向 CA 请求签署证书;

    需要签署的服务无需和 CA 证书签署机构主机在同一台服务器上。

        此处以 httpd 服务为例进行演示，步骤如下：

演示环境：

httpd服务放置 172.16.249.210 主机 ( 此处为 rpm 包安装)

 CA私有签机构放置 172.16. 249.18 主机：

      1.用到证书的 服务器 生成私钥；

            ~]# mkdir  /etc/httpd/ssl  

            ~]# cd  /etc/httpd/ssl

            ~]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)  # 生成私钥

                  生成 httpd 服务的私钥创建时候无需在 /etc/pki/CA 创建，/etc/pki/CA目录仅在创建 CA 主机时候

      2.生成证书签署请求

            ~]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365

                    1) *.csr表示证书签署请求文件

                    2)要保证和签署机构 CA 签署机构信息一致

      3.将请求通过可靠方式发送给 CA 主机

              ~]# scp  /etc/httpd/ssl/httpd.csr  root@172.16.249.18:/tmp/

      4.在 CA 主机上签署证书

            ~]# openssl ca -in/tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

                          *.crt：表示证书文件

                          -days ：签署证书的有效期

 注意：此处需要自己去查看信息是否正确，并确定是否给予签署证书

      5.查看所签署的证书信息

              方法一：~]# cat  /etc/pki/CA/index.txt

                          V：表示已经签署的

                          01：表示证书序列号

                          /C=CN/ST=Beijing/O=… …：  表示主题信息 ( 主题标示)

            方法二：查看证书中的信息 (CA 或者服务端均可)：

            ~]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

                          -serial ：序列号  -subject：主题信息

      6.将 CA 签署机构的 .crt 证书发送给服务器

          ~]#  scp  /etc/pki/CA/certs/httpd.crt  root@172.16.249.210:/etc/httpd/ssl

        注意：第一次进行主机间基于 ssh 的scp操作会接收一个证书，Queue要你那认证

    7.删除服务器和 CA 主机上签署前的 *.csr 文件，确保安全

httpd主机：~]# rm  -rf  /etc/httpd/ssl/httpd.csr

CA主机：~]# rm  -rf  /tmp/httpd.csr

四、OpenSSL：私有 CA 证书签署机构 吊销证书

    1.客户端获取要吊销的证书的 serial(在使用证书的主机 上执行)

~]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

    2.CA 主机吊销证书

        先根据客户提交的 serial 和 subject 信息，对比其与本机数据库 index.txt 中存储的是否一致；

        在 /etc/pki/CA/crets/* 下生成证书后，会在 /etc/pki/CA/newcrets/* 以对应证书命名为 SERIAL.pem 文件存放

     吊销：

  # openssl  ca  -revoke  /etc/pki/CA/newcerts/SERIAL.pem  其中 SERIAL 要换成证书真正的序列号：eg. 01.pem

    3.生成吊销证书的吊销编号（第一次吊销证书时执行）

# echo  01  > /etc/pki/CA/crlnumber

    4.更新证书吊销列表

# openssl  ca  -gencrl  -out  thisca.crl

    5.查看 crl 文件：

# openssl  crl  -in  /PATH/FROM/CRL_FILE.crl  -noout  -text

更多 OpenSSL 相关内容可以查看以下的有用链接：

使用 OpenSSL 命令行构建 CA 及证书  http://www.linuxidc.com/Linux/2015-10/124682.htm

Ubuntu 安装 OpenSSL  http://www.linuxidc.com/Linux/2015-10/124001.htm

通过 OpenSSL 提供 FTP+SSL/TLS 认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htm

Linux 下使用 OpenSSL 生成证书 http://www.linuxidc.com/Linux/2015-05/117034.htm

利用 OpenSSL 签署多域名证书 http://www.linuxidc.com/Linux/2014-10/108222.htm

在 OpenSSL 中添加自定义加密算法  http://www.linuxidc.com/Linux/2015-08/121749.htm

OpenSSL 的详细介绍：请点这里
OpenSSL 的下载地址：请点这里

本文永久更新链接地址：http://www.linuxidc.com/Linux/2016-01/127612.htm