https证书互信解决方案—创建私有CA并申请证书

前言

https相较于http而言有很大的安全性,当我们一个服务开启https并与之通信时,往往需要证书的认证,如果是浏览器访问服务,只要在浏览器内设置信任证书即可,而如果是程序内访问服务(如java程序),则需要导入该服务的证书所信任的证书。

实际情况中,内部系统的互相通信使用https,往往不可能向公有CA申请证书(申请证书需要很高的费用),故我们需要创建一个私有CA来申请证书实现https通信。

名词介绍

CA和证书认证

详见我的一篇博文:https简单解读

实现步骤

环境介绍

  1. 64位 centos 7.X操作系统
  2. 装有openssl命令

构建私有CA

CA要给别人签发证书,首先自己得有一个作为根证书,我们得在一切工作之前修改好CA的配置文件、序列号、索引等等。

输入以下命令更改配置文件:

vi /etc/pki/tls/openssl.cnf

配置文件更改以下部分:

[ CA_default ]
 
dir             = /etc/pki/CA           # Where everything is kept
certs           = $dir/certs            # Where the issued certs are kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.
 
certificate     = $dir/cacert.pem       # The CA certificate
serial          = $dir/serial           # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem # The private key
RANDFILE        = $dir/private/.rand    # private random number file
...
default_days    = 3650                  # how long to certify for
...
# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

在/etc/pki/CA目录创建两个文件index.txt和serial:

cd /etc/pki/CA && touch index.txt serial && echo 01 > serial

仍在当前目录下生成一个CA私钥cakey.pem和自签证书cacert.pem:

openssl genrsa -out private/cakey.pem 2048
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

生成公钥的时候会提示输入一些信息,例子如下:

Country Name (2 letter code) []:CN                                 #国家名
State or Province Name (full name) []:hangzhou                     #省份名
Locality Name (eg, city) []:hangzhou                               #地名
Organization Name (eg, company) []:company                         #公司名
Organizational Unit Name (eg, section) []:unit                     #部门名
Common Name (eg, your websites domain name) []:localhost           #服务域名
Email Address []:                                                  #电子邮件

后面一些信息可按回车略过

这里比较重要的是Comman Name填写的是服务的域名地址,即如果该证书用于某个服务则填该服务的域名地址(如用于百度服务器,则填写www.baidu.com)

本方案的CA证书不用于某个服务,故可填localhost

私有CA签署证书

为一个服务生成私钥server.key和一个证书请求文件server.csr:

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

生成证书请求文件时,仍会提示输入一些信息,例子如下:

Country Name (2 letter code) []:CN                                 #国家名
State or Province Name (full name) []:hangzhou                     #省份名
Locality Name (eg, city) []:hangzhou                               #地名
Organization Name (eg, company) []:company                         #公司名
Organizational Unit Name (eg, section) []:unit                     #部门名
Common Name (eg, your websites domain name) []:XXX.XXX.XXX         #服务域名
Email Address []:                                                  #电子邮件

这里的Common Name就应该填你实际服务所用的域名了

下面将该证书请求文件server.csr由你构建的私有CA签署,生成一个server.crt证书:

openssl x509 -req -in server.csr -CA /etc/pki/CA/cacert.pem -CAkey /etc/pki/CA/private/cakey.pem -CAcreateserial -out server.crt

到此为止,server.crt证书可用于服务提供https访问,客户端若想访问该服务,导入CA根证书cacert.pem即可。

你可能感兴趣的:(网络,https,java)