使用openssl实现私有CA的搭建和证书的颁发

更新时间：2022年10月16日 12:07:39 作者：背对背依靠

这篇文章主要介绍了使用openssl实现私有CA的搭建和证书的颁发,使用openssl搭建私有CA，openssll和私有CA搭建相关的配置文件，里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建，需要的朋友可以参考下

CA的相关该概念

PKI：Public Key Infrastructure 公共密钥加密体系
CA：Certificate Authority，证书签发机构.实现身份的验证的一个机构。

CA工作逻辑

A和B通信需要将彼此的公钥传递给对方，但是直接传递公钥不安全。
通过将公钥传递给认证机构，认证机构对公钥进行签名（私钥加密，公钥解密）并加上一些属性信息。
CA机构将证书制作完成后再返还给用户。
用户将证书发送给需要通信的一方，对方通过使用CA机构的公钥来进行解密得到他的公钥。

根CA：根CA用于管理下级CA，子CA向根CA获取授权，使得它能给用户颁发证书。

Cert：证书

证书：CA对用户公钥进行签名后形成的一个文件。

证书的来源：

自签名证书
CA机构颁发的证书

CA机构颁发的证书流程：

用户生成证书请求文件：.csr
将证书请求文件发送给CA
CA进行签名并颁发证书

CSR是英文Certificate Signing Request的缩写,即证书签名请求

私有CA的搭建

可以通过以下工具来搭建私有CA

OpenCA
openssl

使用openssl搭建私有CA：

openssll和私有CA搭建相关的配置文件

里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建。

[root@CentOS8 tls]#  vim /etc/pki/tls/openssl.cnf
[ ca ]
default_ca      = CA_default            # 默认使用的CA

####################################################################
[ CA_default ]
dir             = /etc/pki/CA           # 存放和CA相关的文件的目录（CentOS7这个文件默认存在）
certs           = $dir/certs            # 存放颁发的证书  Cert：证书
crl_dir         = $dir/crl              # 存放被吊销的证书
database        = $dir/index.txt        # 存放ca的索引（需要人为创建）
new_certs_dir   = $dir/newcerts         # 存放新证书的位置
certificate     = $dir/cacert.pem       # ca的自签名证书
serial          = $dir/serial           # 证书的编号（第一次需要人为创建并编号，后面会自动递增） serial：连续的
crlnumber       = $dir/crlnumber        # 证书吊销列表的编号
crl             = $dir/crl.pem          # 证书吊销列表的文件
private_key     = $dir/private/cakey.pem# CA的私钥
x509_extensions = usr_cert              # The extensions to add to the cert
name_opt        = ca_default            # Subject Name options
cert_opt        = ca_default            # Certificate field options

policy          = policy_match  #指定使用的匹配策略

# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

三种策略：match匹配、optional可选、supplied提供

match：要求申请填写的信息跟CA设置信息必须一致(前三项)
optional：可有可无，跟CA设置信息可不一致
supplied：必须填写这项申请信息

范例:CentOS8搭建私有CA

流程：

1.创建对应的文件和目录（创建的文件和目录需要和配置文件里面的信息对应）

2.生成CA自己的私钥

3.利用CA的私钥生成自签名证书

1. 创建对应的文件和目录

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
mkdir: created directory '/etc/pki/CA/certs' #存放颁发的证书文件
mkdir: created directory '/etc/pki/CA/crl'  #存放吊销的证书文件
mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的证书文件
mkdir: created directory '/etc/pki/CA/private'  #存放CA自己的私钥

#证书的数据库文件：存放证书的颁发等信息，不需要人工维护里面的内容，只需要创建对应的文件就行了，会自动往里面写入数据的
[root@centos8 ~]# touch /etc/pki/CA/index.txt

#颁发证书的序号（十六进制）：第一个证书颁发的时候使用的就是这个编号，后续会自动递增
[root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私钥

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................+++++
........................................................................+++++
e is 65537 (0x010001)

3.颁发自签名证书

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SC
Locality Name (eg, city) [Default City]:CD
Organization Name (eg, company) [Default Company Ltd]:SX
Organizational Unit Name (eg, section) []:LL
Common Name (eg, your name or your server's hostname) []:tom
Email Address []:111

选项:
-new：创建一个新的证书，生成新证书签署请求

-x509：表示证书的格式，专用于CA生成自签证书

-key：生成请求时用到的私钥文件

-days n：证书的有效期限

-out /PATH/TO/SOMECERTFILE: 证书的保存路径

查看自签名证书的方法

查看自签名证书的信息
[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

-in:指定输入的文件

-noout：不输出为文件

-text：以文本方式来进行显示

说明：
颁发自签名证书的时候会要求输入需要输入国家、身份、组织等信息。

用户向私有CA申请证书的流程

1.生成私钥文件

2.通过私钥文件生成证书申请文件，若是match这种策略。填写的国家省组织必须一致

3.CA颁发证书

4.查看证书

1.生成私钥文件

私钥一般使用key作为后缀要标识

[root@CentOS8 CA]# mkdir /data/app1

[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
...............................................................................................+++++
e is 65537 (0x010001)

2.通过私钥文件生成证书申请文件

证书申请文件的后缀一般都是以csr为后缀作为标识

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  #国家
State or Province Name (full name) []:CN #省份
Locality Name (eg, city) [Default City]:CN #组织
Organization Name (eg, company) [Default Company Ltd]:CN
Organizational Unit Name (eg, section) []:CN
Common Name (eg, your name or your server's hostname) []:CN
Email Address []:CN

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

说明：

采用match这种策略,默认有三项内容必须和CA一致：国家，省份，组织，如果不同，会出现下面的提示

如果采用的是option这种策略的话就不用保持一致都可以

3. CA 颁发证书

ca需要使用用户的证书申请文件才能颁发证书,利用证书申请文件里面的用户私钥来实现数字签名。

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr  -out /etc/pki/CA/certs/app1.crt -days 1000
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 15 (0xf)
        Validity
            Not Before: Oct 14 06:53:07 2022 GMT
            Not After : Jul 10 06:53:07 2025 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = CN
            organizationName          = CN
            organizationalUnitName    = CN
            commonName                = CN
            emailAddress              = CN
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A
            X509v3 Authority Key Identifier: 
                keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A

Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

[root@CentOS8 CA]# tree
.
├── cacert.pem
├── certs
│   └── app1.crt #给用户生成的生成的证书文件
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old  #前一个文件的备份
├── newcerts
│   └── 0F.pem #和app1.crt是同一个东西，自动生成的一个备份文件
├── private
│   └── cakey.pem
├── serial
└── serial.old

4 directories, 9 files

#serial：存放的是下一个证书的证书编号

查看证书的有效性

[root@CentOS8 CA]# openssl ca -status 0F  #0F就是这个证书的标号
Using configuration from /etc/pki/tls/openssl.cnf
0F=Valid (V)

V：标识生效的   R：标识无效的证书

查看证书的信息

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer
issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

证书文件后缀

后缀规定：
.crt #证书文件的标识

.csr #证书申请文件的标识  证书申请完成后，这个证书申请文件就没啥用了

.key #私钥的标识  .pem也是私钥的标识，但是windows不是别pem结尾的文件

一个证书申请文件只能申请一次证书。

实现一个申请文件申请多个证书的方法；

root@CentOS8 CA]# pwd
/etc/pki/CA
[root@CentOS8 CA]# cat index.txt.attr 
unique_subject = yes


unique_subject = yes  #把yes变为no就可以了

证书的吊销

openssl ca -revoke /PATH/FILE

例如：

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 0F.
Data Base Updated

[root@CentOS8 CA]# openssl ca -status 0F 
Using configuration from /etc/pki/tls/openssl.cnf
0F=Revoked (R)

[root@CentOS8 CA]# cat /etc/pki/CA/index.txt
R	250710065307Z	221014072459Z	0F	unknown	/C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成证书吊销列表文件

公开被吊销的文件。其他用户可以获取已经吊销了的证书文件列表

#需要创建一个clinumer文件才可以  吊销证书也需要一个吊销证书的number 类似于index.txt

#这个文件默认不存在，需要手动创建出来

echo 01 > /etc/pki/CA/crlnumber

openssl ca -gencrl -out /etc/pki/CA/crl.pem   #证书吊销文件的路径是约定好的

到此这篇关于使用openssl实现私有CA的搭建和证书的颁发的文章就介绍到这了,更多相关openssl私有CA的搭建颁发内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Git 常用命令清单(整理且详细)
git我每天几乎都在使用，但是很多命令还是记不住，下面小编给大家分享了Git 常用命令清单，感兴趣的朋友一起看看吧
2017-10-10
vscode 一键规范代码格式的实现
这篇文章主要介绍了vscode 一键规范代码格式的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-08-08
Hadoop的eclipse的插件安装方法
这篇文章主要介绍了Hadoop的eclipse的插件安装方法，本文图文并茂给大家介绍的非常详细，具有一定的参考借鉴价值，需要的朋友可以参考下
2019-08-08
CLion中编译ROS工程的配置详细教程
这篇文章主要介绍了CLion中编译ROS工程的配置,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-08-08
Web通信分析工具 [推荐]
在抓虾上看到一篇Web开发分析工具的文章（链接就免了），怎么远没有我用的东西好用呢？还是介绍介绍我用的吧。由于平常开发只用FireFox，完成后再去调试IE，所以这些工具绝大部分是针对FireFox的。
2009-04-04
使用sublime Text3过程中的各种问题的解决
本文主要介绍了使用sublime Text3过程中的各种问题的解决，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-01-01
Git 教程之远程仓库详解
本文主要介绍Git 远程仓库的知识，这里整理了相关资料，及命令详解，图文并茂的介绍该部分内容，有需要的小伙伴可以参考下
2016-09-09
如何解决vscode中ESLint和prettier冲突问题
这篇文章主要给大家介绍了关于如何解决vscode中ESLint和prettier冲突问题的相关资料,ESLint和Prettier之间可能会发生冲突,因为它们都是用于代码规范化的工具,但它们的规则和格式化方式可能不同,需要的朋友可以参考下
2023-11-11
Matlab实现新冠病毒传播模拟效果
2022年4月11日报道，日本NEC公司8日宣布已开始利用最尖端的人工智能（AI）技术开发新冠疫苗，本文给大家带来了Matlab实现新冠病毒传播模拟效果,需要的朋友可以参考下
2022-04-04
手把手教你用Hexo+Github搭建属于自己的博客(详细图文)
越来越多的朋友选择自己架设自己的博客，以来方便个性样式二来也能带来不少收入，大部分朋友都会选择wordpress搭建个人博客，这里为大家分享使用Hexo+Github搭建开发者博客的方法,需要的朋友可以参考下
2017-10-10