使用openssl实现私有CA的搭建和证书的颁发

转载

as007012012 2024-08-21 00:17:42 博主文章分类：网络安全

文章标签 签名证书 文章分类 网络安全

转载：使用openssl实现私有CA的搭建和证书的颁发_相关技巧_脚本之家 (jb51.net)

CA的相关该概念

· PKI：Public Key Infrastructure 公共密钥加密体系

· CA：Certificate Authority，证书签发机构.实现身份的验证的一个机构。

CA工作逻辑

使用openssl实现私有CA的搭建和证书的颁发_签名证书

· A和B通信需要将彼此的公钥传递给对方，但是直接传递公钥不安全。

· 通过将公钥传递给认证机构，认证机构对公钥进行签名（私钥加密，公钥解密）并加上一些属性信息。

· CA机构将证书制作完成后再返还给用户。

· 用户将证书发送给需要通信的一方，对方通过使用CA机构的公钥来进行解密得到他的公钥。

根CA：根CA用于管理下级CA，子CA向根CA获取授权，使得它能给用户颁发证书。

Cert：证书

证书：CA对用户公钥进行签名后形成的一个文件。

证书的来源：

· 自签名证书

· CA机构颁发的证书

CA机构颁发的证书流程：

· 用户生成证书请求文件：.csr

· 将证书请求文件发送给CA

· CA进行签名并颁发证书

CSR是英文Certificate Signing Request的缩写,即证书签名请求

私有CA的搭建

可以通过以下工具来搭建私有CA

· OpenCA

· openssl

使用openssl搭建私有CA：

openssll和私有CA搭建相关的配置文件

里面包含了很多和证书相关的设置,后续创建对应文件的时候需要根据配置文件中的信息进行创建。

[root@CentOS8 tls]# vim /etc/pki/tls/openssl.cnf [ ca ] default_ca = CA_default # 默认使用的CA #################################################################### [ CA_default ] dir = /etc/pki/CA # 存放和CA相关的文件的目录（CentOS7这个文件默认存在） certs = $dir/certs # 存放颁发的证书 Cert：证书 crl_dir = $dir/crl # 存放被吊销的证书 database = $dir/index.txt # 存放ca的索引（需要人为创建） new_certs_dir = $dir/newcerts # 存放新证书的位置 certificate = $dir/cacert.pem # ca的自签名证书 serial = $dir/serial # 证书的编号（第一次需要人为创建并编号，后面会自动递增） serial：连续的 crlnumber = $dir/crlnumber # 证书吊销列表的编号 crl = $dir/crl.pem # 证书吊销列表的文件 private_key = $dir/private/cakey.pem# CA的私钥 x509_extensions = usr_cert # The extensions to add to the cert name_opt = ca_default # Subject Name options cert_opt = ca_default # Certificate field options policy = policy_match #指定使用的匹配策略 # For the CA policy [ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional

三种策略：match匹配、optional可选、supplied提供

· match：要求申请填写的信息跟CA设置信息必须一致(前三项)

· optional：可有可无，跟CA设置信息可不一致

· supplied：必须填写这项申请信息

范例:CentOS8搭建私有CA

流程：

1.创建对应的文件和目录（创建的文件和目录需要和配置文件里面的信息对应）

2.生成CA自己的私钥

3.利用CA的私钥生成自签名证书

1. 创建对应的文件和目录

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} mkdir: created directory '/etc/pki/CA/certs' #存放颁发的证书文件 mkdir: created directory '/etc/pki/CA/crl' #存放吊销的证书文件 mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的证书文件 mkdir: created directory '/etc/pki/CA/private' #存放CA自己的私钥 #证书的数据库文件：存放证书的颁发等信息，不需要人工维护里面的内容，只需要创建对应的文件就行了，会自动往里面写入数据的 [root@centos8 ~]# touch /etc/pki/CA/index.txt #颁发证书的序号（十六进制）：第一个证书颁发的时候使用的就是这个编号，后续会自动递增 [root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私钥

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ..........................+++++ ........................................................................+++++ e is 65537 (0x010001)

3.颁发自签名证书

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:SC Locality Name (eg, city) [Default City]:CD Organization Name (eg, company) [Default Company Ltd]:SX Organizational Unit Name (eg, section) []:LL Common Name (eg, your name or your server's hostname) []:tom Email Address []:111 选项: -new：创建一个新的证书，生成新证书签署请求 -x509：表示证书的格式，专用于CA生成自签证书 -key：生成请求时用到的私钥文件 -days n：证书的有效期限 -out /PATH/TO/SOMECERTFILE: 证书的保存路径

查看自签名证书的方法

查看自签名证书的信息 [root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text -in:指定输入的文件 -noout：不输出为文件 -text：以文本方式来进行显示

说明：颁发自签名证书的时候会要求输入需要输入国家、身份、组织等信息。

用户向私有CA申请证书的流程

1.生成私钥文件

2.通过私钥文件生成证书申请文件，若是match这种策略。填写的国家省组织必须一致

3.CA颁发证书

4.查看证书

1.生成私钥文件

私钥一般使用key作为后缀要标识

[root@CentOS8 CA]# mkdir /data/app1 [root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) .................................+++++ ...............................................................................................+++++ e is 65537 (0x010001)

2.通过私钥文件生成证书申请文件

证书申请文件的后缀一般都是以csr为后缀作为标识

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN #国家 State or Province Name (full name) []:CN #省份 Locality Name (eg, city) [Default City]:CN #组织 Organization Name (eg, company) [Default Company Ltd]:CN Organizational Unit Name (eg, section) []:CN Common Name (eg, your name or your server's hostname) []:CN Email Address []:CN Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

说明：

采用match这种策略,默认有三项内容必须和CA一致：国家，省份，组织，如果不同，会出现下面的提示

如果采用的是option这种策略的话就不用保持一致都可以

3. CA 颁发证书

ca需要使用用户的证书申请文件才能颁发证书,利用证书申请文件里面的用户私钥来实现数字签名。

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000 Using configuration from /etc/pki/tls/openssl.cnf Check that the request matches the signature Signature ok Certificate Details: Serial Number: 15 (0xf) Validity Not Before: Oct 14 06:53:07 2022 GMT Not After : Jul 10 06:53:07 2025 GMT Subject: countryName = CN stateOrProvinceName = CN organizationName = CN organizationalUnitName = CN commonName = CN emailAddress = CN X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A X509v3 Authority Key Identifier: keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

[root@CentOS8 CA]# tree . ├── cacert.pem ├── certs │ └── app1.crt #给用户生成的生成的证书文件 ├── crl ├── index.txt ├── index.txt.attr ├── index.txt.old #前一个文件的备份 ├── newcerts │ └── 0F.pem #和app1.crt是同一个东西，自动生成的一个备份文件 ├── private │ └── cakey.pem ├── serial └── serial.old 4 directories, 9 files #serial：存放的是下一个证书的证书编号

查看证书的有效性

[root@CentOS8 CA]# openssl ca -status 0F #0F就是这个证书的标号 Using configuration from /etc/pki/tls/openssl.cnf 0F=Valid (V) V：标识生效的 R：标识无效的证书

复制

查看证书的信息

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

证书文件后缀

后缀规定： .crt #证书文件的标识 .csr #证书申请文件的标识证书申请完成后，这个证书申请文件就没啥用了 .key #私钥的标识 .pem也是私钥的标识，但是windows不是别pem结尾的文件

一个证书申请文件只能申请一次证书。

实现一个申请文件申请多个证书的方法；

root@CentOS8 CA]# pwd /etc/pki/CA [root@CentOS8 CA]# cat index.txt.attr unique_subject = yes unique_subject = yes #把yes变为no就可以了

证书的吊销

openssl ca -revoke /PATH/FILE

例如：

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt Using configuration from /etc/pki/tls/openssl.cnf Revoking Certificate 0F. Data Base Updated [root@CentOS8 CA]# openssl ca -status 0F Using configuration from /etc/pki/tls/openssl.cnf 0F=Revoked (R) [root@CentOS8 CA]# cat /etc/pki/CA/index.txt R 250710065307Z 221014072459Z 0F unknown /C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成证书吊销列表文件

公开被吊销的文件。其他用户可以获取已经吊销了的证书文件列表

#需要创建一个clinumer文件才可以吊销证书也需要一个吊销证书的number 类似于index.txt #这个文件默认不存在，需要手动创建出来 echo 01 > /etc/pki/CA/crlnumber openssl ca -gencrl -out /etc/pki/CA/crl.pem #证书吊销文件的路径是约定好的