使用openssl實現私有CA的搭建和證書的頒發

CA的相關該概念

  • PKI:Public Key Infrastructure 公共密鑰加密體系
  • CA:Certificate Authority,證書簽發機構.實現身份的驗證的一個機構。

CA工作邏輯

  • A和B通信需要將彼此的公鑰傳遞給對方,但是直接傳遞公鑰不安全。
  • 通過將公鑰傳遞給認證機構,認證機構對公鑰進行簽名(私鑰加密,公鑰解密)並加上一些屬性信息。
  • CA機構將證書制作完成後再返還給用戶。
  • 用戶將證書發送給需要通信的一方,對方通過使用CA機構的公鑰來進行解密得到他的公鑰。

根CA:根CA用於管理下級CA,子CA向根CA獲取授權,使得它能給用戶頒發證書。

Cert:證書

證書:CA對用戶公鑰進行簽名後形成的一個文件。

證書的來源:

  • 自簽名證書
  • CA機構頒發的證書

CA機構頒發的證書流程:

  • 用戶生成證書請求文件:.csr
  • 將證書請求文件發送給CA
  • CA進行簽名並頒發證書

CSR是英文Certificate Signing Request的縮寫,即證書簽名請求

私有CA的搭建

可以通過以下工具來搭建私有CA

  • OpenCA
  • openssl

使用openssl搭建私有CA:

openssll和私有CA搭建相關的配置文件

裡面包含瞭很多和證書相關的設置,後續創建對應文件的時候需要根據配置文件中的信息進行創建。

[root@CentOS8 tls]#  vim /etc/pki/tls/openssl.cnf
[ ca ]
default_ca      = CA_default            # 默認使用的CA

####################################################################
[ CA_default ]
dir             = /etc/pki/CA           # 存放和CA相關的文件的目錄(CentOS7這個文件默認存在)
certs           = $dir/certs            # 存放頒發的證書  Cert:證書
crl_dir         = $dir/crl              # 存放被吊銷的證書
database        = $dir/index.txt        # 存放ca的索引(需要人為創建)
new_certs_dir   = $dir/newcerts         # 存放新證書的位置
certificate     = $dir/cacert.pem       # ca的自簽名證書
serial          = $dir/serial           # 證書的編號(第一次需要人為創建並編號,後面會自動遞增) serial:連續的
crlnumber       = $dir/crlnumber        # 證書吊銷列表的編號
crl             = $dir/crl.pem          # 證書吊銷列表的文件
private_key     = $dir/private/cakey.pem# CA的私鑰
x509_extensions = usr_cert              # The extensions to add to the cert
name_opt        = ca_default            # Subject Name options
cert_opt        = ca_default            # Certificate field options

policy          = policy_match  #指定使用的匹配策略

# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

三種策略:match匹配、optional可選、supplied提供

  • match:要求申請填寫的信息跟CA設置信息必須一致(前三項)
  • optional:可有可無,跟CA設置信息可不一致
  • supplied:必須填寫這項申請信息

范例:CentOS8搭建私有CA

流程:

1.創建對應的文件和目錄(創建的文件和目錄需要和配置文件裡面的信息對應)

2.生成CA自己的私鑰

3.利用CA的私鑰生成自簽名證書

1. 創建對應的文件和目錄

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
mkdir: created directory '/etc/pki/CA/certs' #存放頒發的證書文件
mkdir: created directory '/etc/pki/CA/crl'  #存放吊銷的證書文件
mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的證書文件
mkdir: created directory '/etc/pki/CA/private'  #存放CA自己的私鑰

#證書的數據庫文件:存放證書的頒發等信息,不需要人工維護裡面的內容,隻需要創建對應的文件就行瞭,會自動往裡面寫入數據的
[root@centos8 ~]# touch /etc/pki/CA/index.txt

#頒發證書的序號(十六進制):第一個證書頒發的時候使用的就是這個編號,後續會自動遞增
[root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私鑰

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................+++++
........................................................................+++++
e is 65537 (0x010001)

3.頒發自簽名證書

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SC
Locality Name (eg, city) [Default City]:CD
Organization Name (eg, company) [Default Company Ltd]:SX
Organizational Unit Name (eg, section) []:LL
Common Name (eg, your name or your server's hostname) []:tom
Email Address []:111

選項:
-new:創建一個新的證書,生成新證書簽署請求

-x509:表示證書的格式,專用於CA生成自簽證書

-key:生成請求時用到的私鑰文件

-days n:證書的有效期限

-out /PATH/TO/SOMECERTFILE: 證書的保存路徑

查看自簽名證書的方法

查看自簽名證書的信息
[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

-in:指定輸入的文件

-noout:不輸出為文件

-text:以文本方式來進行顯示

說明:
頒發自簽名證書的時候會要求輸入需要輸入國傢、身份、組織等信息。

用戶向私有CA申請證書的流程

1.生成私鑰文件

2.通過私鑰文件生成證書申請文件,若是match這種策略。填寫的 國傢 省 組織必須一致

3.CA頒發證書

4.查看證書

1.生成私鑰文件

私鑰一般使用key作為後綴要標識

[root@CentOS8 CA]# mkdir /data/app1

[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
...............................................................................................+++++
e is 65537 (0x010001)

2.通過私鑰文件生成證書申請文件

證書申請文件的後綴一般都是以csr為後綴作為標識

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  #國傢
State or Province Name (full name) []:CN #省份
Locality Name (eg, city) [Default City]:CN #組織
Organization Name (eg, company) [Default Company Ltd]:CN
Organizational Unit Name (eg, section) []:CN
Common Name (eg, your name or your server's hostname) []:CN
Email Address []:CN

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

說明:

采用match這種策略,默認有三項內容必須和CA一致:國傢,省份,組織,如果不同,會出現下面的提示

如果采用的是option這種策略的話就不用保持一致都可以

3. CA 頒發證書

ca需要使用用戶的證書申請文件才能頒發證書,利用證書申請文件裡面的用戶私鑰來實現數字簽名。

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr  -out /etc/pki/CA/certs/app1.crt -days 1000
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 15 (0xf)
        Validity
            Not Before: Oct 14 06:53:07 2022 GMT
            Not After : Jul 10 06:53:07 2025 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = CN
            organizationName          = CN
            organizationalUnitName    = CN
            commonName                = CN
            emailAddress              = CN
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A
            X509v3 Authority Key Identifier: 
                keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A

Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@CentOS8 CA]# tree
.
├── cacert.pem
├── certs
│   └── app1.crt #給用戶生成的生成的證書文件
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old  #前一個文件的備份
├── newcerts
│   └── 0F.pem #和app1.crt是同一個東西,自動生成的一個備份文件
├── private
│   └── cakey.pem
├── serial
└── serial.old

4 directories, 9 files

#serial:存放的是下一個證書的證書編號

查看證書的有效性

[root@CentOS8 CA]# openssl ca -status 0F  #0F就是這個證書的標號
Using configuration from /etc/pki/tls/openssl.cnf
0F=Valid (V)

V:標識生效的   R:標識無效的證書

查看證書的信息

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer
issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

證書文件後綴

後綴規定:
.crt #證書文件的標識

.csr #證書申請文件的標識  證書申請完成後,這個證書申請文件就沒啥用瞭

.key #私鑰的標識  .pem也是私鑰的標識,但是windows不是別pem結尾的文件

一個證書申請文件隻能申請一次證書。

實現一個申請文件申請多個證書的方法;

root@CentOS8 CA]# pwd
/etc/pki/CA
[root@CentOS8 CA]# cat index.txt.attr 
unique_subject = yes


unique_subject = yes  #把yes變為no就可以瞭

證書的吊銷

openssl ca -revoke /PATH/FILE

例如:

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 0F.
Data Base Updated

[root@CentOS8 CA]# openssl ca -status 0F 
Using configuration from /etc/pki/tls/openssl.cnf
0F=Revoked (R)

[root@CentOS8 CA]# cat /etc/pki/CA/index.txt
R	250710065307Z	221014072459Z	0F	unknown	/C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成證書吊銷列表文件

公開被吊銷的文件。其他用戶可以獲取已經吊銷瞭的證書文件列表

#需要創建一個clinumer文件才可以  吊銷證書也需要一個吊銷證書的number 類似於index.txt

#這個文件默認不存在,需要手動創建出來

echo 01 > /etc/pki/CA/crlnumber

openssl ca -gencrl -out /etc/pki/CA/crl.pem   #證書吊銷文件的路徑是約定好的

到此這篇關於使用openssl實現私有CA的搭建和證書的頒發的文章就介紹到這瞭,更多相關openssl私有CA的搭建頒發內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: