创建私有CA和证书申请

一、OpenSSL:CA默认配置信息

openssl 配置文件:/etc/pki/tls/openssl.cnf

openssl.cnf部分配置信息和CA相关的配置文件,可修改 
#################################################################### 
[ ca ] 
default_ca = CA_default # The default ca section 指定默认CA是CA_default

####################################################################

[ CA_default ]

dir             = /etc/pki/CA           # Where everything is kept             CA的公共目录 定义一个dir变量
certs           = \$dir/certs            # Where the issued certs are kept   
crl_dir         = \$dir/crl              # Where the issued crl are kept        证书吊销列表
database        = $dir/index.txt        # database index file.                证书数据库,存放证书的状态,编号等,需要手工创建,创建的是一个空文件,数据自动生成
\#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = \$dir/newcerts         # default place for new certs.          颁发的证书自动生成
certificate     = \$dir/cacert.pem       # The CA certificate                    CA自己的证书,根CA是自己给自己颁发的证书,子CA是由上级CA颁发的证书
serial          = \$dir/serial           # The current serial number             当前序列号,是一个16进制,数值要放在此文件夹中,但是表示的是颁发的下一个证书的编号
crlnumber       = \$dir/crlnumber        # the current crl number                下一个证书的吊销编号
                                        # must be commented out to leave a V1 CRL  
crl             = \$dir/crl.pem          # The current CRL                 
private_key     = \$dir/private/cakey.pem# The private key                         证书的私钥
RANDFILE        = \$dir/private/.rand    # private random number file               随机数

x509_extensions = usr_cert              # The extentions to add to the cert      x509

\# Comment out the following two lines for the "traditional"\# (and highly broken) format.
name_opt        = ca_default            # Subject Name options                   命令方式是由ca_default决定的
cert_opt        = ca_default            # Certificate field options              

\# Extension copying option: use with caution.
\# copy_extensions = copy

\# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
\# so this is commented out by default to leave a V1 CRL.
\# crlnumber must also be commented out to leave a V1 CRL.
\# crl_extensions        = crl_ext

default_days    = 365                   # how long to certify for               证书的有效期默认是365天,可以修改
default_crl_days= 30                    # how long before next CRL              crl 默认有效期是30天 
default_md      = sha256                # use SHA-256 by default                preserve        = no                    # keep passed DN ordering

\# A few difference way of specifying how similar the request should look
\# For type CA, the listed attributes must be the same, and the optional
\# and supplied fields are just that :-)
policy          = policy_match          策略是policy_match

\# For the CA policy
[ policy_match ]                        纪录的是CA搭建的时候的以及客户端申请CA证书的时候信息匹配程度
countryName             = match         国家                                 
stateOrProvinceName     = match         美国的州  我们国家应该是省
organizationName        = match         公司
organizationalUnitName  = optional      公司部门
commonName              = supplied      通用名,主机名,给网站域名用的
emailAddress            = optional      邮件地址

注意:  match 必须匹配   optional 可有可无,可以不一样   supplied 必须添加,可以不一样

\# For the 'anything' policy
\# At this point in time, you must list all acceptable 'object'\# types.
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364

####################################################################

二、OpenSSL:创建私有证书签发机构CA步骤

1.生成私钥

cd /etc/pki/CA/
umask 066;openssl genrsa -out private/cakey.pem -des3 2048)
umask #指定文件的权限
genrsa #私钥加密的算法
-out private/cakey.pem #生成的私钥存放路径,这里必须是这个路径,如果要改成其他路径,需要修改配置/etc/pki/CA -des3 #加密算法,后面跟的位数范围是 1024 到 4096  我们这里选择2048 1234567

创建私有CA和证书申请_创建私有CA和证书申请

如上图,输入口令加密私钥。

创建私有CA和证书申请_创建私有CA和证书申请_02

如上图查看生成的私钥文件catkey.pem

2. 利用私钥生成自签名证书

cd /etc/pki/CA

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300

-new:#生成新证书签署请求;-x509:#生成自签格式证书,专用于创建私有CA时;-key:#生成请求时用到的私有密钥文件路径;-out:#生成的请求文件路径;如果自签操作将直接生成签署过的证书;-days:#证书的有效时长,单位是day;12345678910111213

创建私有CA和证书申请_创建私有CA和证书申请_03

填写证书基本信息

Country Name (2 letter code) [XX]: # 两个字符表示的国家代码,CN为中国

State or Province Name (full name) []: # 省或洲的完整名称

Locality Name (eg, city) [Default City]: # 所在位置的名称(默认为城市) 
Organization Name (eg, company) [Default Company Ltd]: # 组织机构名称(默认为公司)

Organizational Unit Name (eg, section) []: # 组织机构单元名称(eg.部门)

Common Name (eg, your name or your server’s hostname) []: # 持有者名或者所在服务器主机名(即域名)

Email Address []: # 管理员邮件地址,可以省略

创建私有CA和证书申请_创建私有CA和证书申请_04

查看自签名证书

创建私有CA和证书申请_创建私有CA和证书申请_05

在xshell中执行命令
sz cacert.pem把数字证书cacert.pem 导入到Windows系统中可以看一下效果123

创建私有CA和证书申请_创建私有CA和证书申请_06

如上图,因为我们创建的自签名证书,所以【颁发者】和【颁发给】后面跟的都是同一主机名ca.zhangym.com。时间也是我们设置的7300天,大约20年。还可以查看证书路径,详细信息等等,这里不再截图展示了。 
三、OpenSSL:子CA证书申请和根CA颁发 证书给子CA

1. 子CA生成证书请求

子CA生成私钥

(umask 066;openssl genrsa -out private/cakey.pem -des3 2048)1
openssl  req  -new  -key  private/cakey.key  -out  subca.csr12

创建私有CA和证书申请_创建私有CA和证书申请_07

证书信息填写

创建私有CA和证书申请_创建私有CA和证书申请_08

将证书请求文件传输给根CA

openssl  ca  -in  subca.csr  -out  certs/subca.crt #可以加上期限(-days xxxx),这里我选择配置文件默认期限1

2. 根CA签署证书,并将证书颁发给请求者

cd /etc/pki/CA       #注意路径,进入CA目录下操作touch index.txt      #证书数据库,存放证书的状态,编号等openssl ca -in subca.csr -out certs/subca.crt 123

创建私有CA和证书申请_创建私有CA和证书申请_09

可以查看到/etc/pki/CA/certs/目录下生成的颁发的证书subca.crt文件

创建私有CA和证书申请_创建私有CA和证书申请_10

scp certs/subca.crt 172.18.24.6:/etc/pki/CA/cacert.pem1

注意:这里要把subca.crt文件的后缀名改成 .pem,配置文件规定,CA要有cacert.pem文件才可以颁发证书。

自此根CA给子CA颁发的证书cacert.pem就生成了,子CA就可以在相应的服务中使用证书了。

四、OpenSSL:客户端申请证书和子CA颁发证书

1. 客户端生成私钥

进入到/etc/pki/tls目录下,这里把客户端生成的私钥存放在tls目录下的private目录中,可以自行选择存放路径,这里没有严格要求路径

cd /etc/pki/tls
(umask 066; openssl genrsa -out private/app.key -des3 2048)123

创建私有CA和证书申请_创建私有CA和证书申请_11

如上图,openssl命令参数跟一步骤的生成私钥一样,这里不做过多的阐述。

2. 在需要使用证书的主机生成证书请求

生成私钥

openssl  req  -new  -key  private/app.key  -out  app.csr#这里跟步骤一生成自签名文件一样,不过少了-x509,加上-x509表示自签名,我们这里是申请证书123

创建私有CA和证书申请_创建私有CA和证书申请_12

生成app.csr证书请求文件

openssl  req  -new  -key  private/app.key  -out  app.csr12

创建私有CA和证书申请_创建私有CA和证书申请_13

填写申请证书信息,如下图

创建私有CA和证书申请_创建私有CA和证书申请_14

将证书请求文件传输给子CA

2. 子CA签署证书,并将证书颁发给请求者

cd /etc/pki/CA       #注意路径,进入CA目录下操作touch index.txt      #证书数据库,存放证书的状态,编号等echo 00 > serial     #数值要放在此文件夹中,但是表示的是颁发的下一个证书的编号,00表示下一个数字证书的编号是00,可以自己自己指定一个值123

颁发证书

openssl  ca  -in  app.csr  -out  certs/app.crt -days 100  #这里期限设置为100天1

**注意:默认证书请求和子CA上的,国家、省、公司名称三项必须一致,如果填写不一致,可能会报错,需要从会客户端从新生成app.csr文件 。如果我们修改了配置,把policy-math改成policy-anything,这个时候所有的信息都可以不一样,其实那些信息一样,那些信息不一样,都是可以通过修改配置文件的策略来自定义的。我们这里选择默认,感兴趣的同学可以试试。 
**

创建私有CA和证书申请_创建私有CA和证书申请_15

正确操作后,会有两个选择,都选择Y即可。

查看index文件和serial文件

创建私有CA和证书申请_创建私有CA和证书申请_16

把颁发的证书发送给客户端

创建私有CA和证书申请_创建私有CA和证书申请_17

证书在客户端服务里面的使用不是这里的重点,不在这里详讲。

同时我们可以修改CA端的/etc/pki/CA/目录下的index.txt.attr文件,unique_subject = yes改成unique_subject = no ,可以颁发两个相同的证书。

自此,子CA颁发给客户端的数字证书app.crt 就生成了,客户端就可以在相应的服务中使用数字证书了。

五、OpenSSL:吊销证书

1. 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:

openssl ca -revoke newcerts/01.pem1

创建私有CA和证书申请_创建私有CA和证书申请_18

吊销证书后,可以查看index.txt文件下的信息,R表示颁发的无效,说明吊销成功,如果显示V,则表示证书在生效中

创建私有CA和证书申请_创建私有CA和证书申请_19

2. 指定第一个吊销证书的编号

注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber1

3.更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem1

创建私有CA和证书申请_创建私有CA和证书申请_20

吊销证书crl.pem就生成了