目录
1 CA架构说明
1.1 名词说明
1.2 信任关系说明
2 证书在windows服务中的具体使用方式
3 Openssl实现CA体系的操作方法
3.1 使用自签名证书自建CA(在CA端操作)
3.2 在客户端生成证书申请文件(在APP端操作)
3.3 在CA端颁发证书
3.4 具体案例测试
3.4.1 环境介绍
3.4.2 Centos19安装配置nginx
3.4.3 nginx使用自签名启用ssl认证
3.4.4 使用windows01访问测试---预期效果证书不信任
3.4.5 windows01添加对自签名证书的信任
3.4.6 使用windows01访问测试---预期效果证书信任
3.4.7 在centos18上创建CA
3.4.8 使用CA颁发证书并绑定到nginx
3.4.9 使用windows01访问测试---预期效果证书不信任
3.4.10 windows01添加对CA(centos18)的信任
3.4.11 使用windows01访问测试---预期效果证书信任
1 CA架构说明
1.1 名词说明
CA:证书颁发机构,类似与工商局,专门发放证书的机构,只有得到了CA颁发的证书应用才能正常对外提供服务
公钥:顾名思义,公共的秘钥,安全性要求不高,可以共享出来给大家使用
私钥:私有的秘钥,只能自己使用,需要防止泄露
公钥和秘钥的关系:公钥和秘钥成对出现,互相认证,即我的公钥加密的文件只能我的秘钥解开,我的秘钥加密的文件只能我的公钥解开,每个个体(可以是用户或者主机)都可以拥有一对。
证书:采用公钥秘钥的特性生成的一种文件,由CA颁发出来的,类似于营业执照
1.2 信任关系说明
如上图,APP可以是Web server或者其他的应用程序,PC代指浏览APP所提供服务的设备包括电脑手机等设备。PC访问APP时(ssl认证)需要验证APP绑定的证书的真实性,而证书是由CA颁发的,此时PC只要信任CA即可,信任的方式为将CA的自签名证书加入到电脑的“受信任的证书颁发机构”。可以通过windows的控制台或者IE浏览器中的设置查看电脑信任了哪些CA,如下查看方式
打开”internet选项”—“内容”---“证书”---“受信任的根证书颁发机构”可以看到微软已经帮我们信任好了一些公共的CA。
一般找这里面列出来的CA组织申请证书都是需要费用的,所以大家经常会在访问网页时会发现安全证书的警告,这个一般是组织内部CA颁发的或者是自签名证书。自签名证书就是通过将CA与APP所在的服务器合二为一的方式实现的。
#上面的操作是windows系统,如果是RedHat系统可以使用如下方式添加对CA的信任
cat [根证书文件] >> /etc/pki/tls/certs/ca-bundle.crt
2 证书在windows服务中的具体使用方式
由于作者前期是从事Windows运维相关的工作,先简单介绍一下CA在windows AD中的应用。
在AD环境中一般会需要架设一台CA供其他需要证书加密的服务使用,CA架设(集成AD架设的方式)完成之后域中的所有windows设备都会自动信任该CA,域中的所有设备和所有用户都可以向CA申请证书。申请证书的方式有两种,一种是登录CA提供的网页申请,另一种如下:
“开始”---“运行”---“输入mmc回车”---“文件”---“添加删除管理单元”---“证书”如下图
可以使用用户或者主机的名义去申请,这里选择我的用户账户
右键“个人”---“所有任务”---“申请新证书”点击下一步
在这个界面需要在CA端定义了注册策略之后,这里就会显示注册策略,选择相应的注册策略之后申请就会被提交到CA,在CA端进行证书颁发之后在证书这一列就会显示出来证书了
这里就简单的介绍了一下windows AD环境中的证书申请方法,如果CA是使用第三方工具如openssl等工具搭建的,具体的操作方法也可能会有一些差异
3 Openssl实现CA体系的操作方法
3.1 使用自签名证书自建CA(在CA端操作)
#创建私钥
openssl genrsa -out cakey.pem 4096
#使用上面的私钥创建证书,这个证书被称为根证书,一台电脑将这个证书导入到“受信任的根证书颁发机构”后就相当于信任的这个CA
openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650
3.2 在客户端生成证书申请文件(在APP端操作)
#生成私钥
openssl genrsa -out app.key 4096
#生成证书申请文件,实际上是生成了一个自签名证书,只是后面需要拿给CA签名
openssl req -new -x509 -key app.key -out app.csr -days 3650
3.3 在CA端颁发证书
#将上一步生成的私钥拷贝到CA端,执行如下操作
openssl ca -in httpd.csr -out httpd.crt -days 3650
#证书生成完成后可以通过如下命令查看证书
Openssl x509 -in httpd.crt -noout -serial -subject
3.4 具体案例测试
3.4.1 环境介绍
Centos18:CA
Centos19:运行了nginx,并开启ssl模块,向CA申请证书
Windows01:做实验的windows电脑,命名为windows01
3.4.2 Centos19安装配置nginx
使用源码安装太麻烦,直接使用epel的yum源来安装,如下yum源供参考,具体的安装步骤就不多做介绍了
3.4.3 nginx使用自签名证书启用ssl认证
#创建私钥
openssl genrsa -out httpd.key 1024
#使用上面的私钥创建证书
openssl req -new -x509 -key httpd.key -out httpd.crt -days 3650
将私钥和证书的路径填入/etc/nginx/nginx.conf中的如下字段,这些字段默认是注释掉的,需要去掉注释
3.4.4 使用windows01访问测试---预期效果证书不信任
访问https://centos19发现证书错误
查看证书详情可以看到是由centos19自己颁发的证书,并且不受信任
3.4.5 windows01添加对自签名证书的信任
添加信任可以直接将3.4.3中生成的证书拷贝到windows01中进行安装,或者直接在网页中查看证书时安装(这种方式在有些情况下可能不适用)。下面介绍一下第二种方式
如图查看证书,安装证书---下一步
选择存储位置为“受信任的根证书颁发机构”
安装完成之后,就添加了对centos19的信任了
3.4.6 使用windows01访问测试---预期效果证书信任
重新访问网页查看发现没有报错了
3.4.7 在centos18上创建CA
创建所需的目录和文件,这些文件目录的配置都在/etc/pki/tls/openssl.conf中定义
然后按照3.1中的方法创建CA的私钥和证书如下
#创建私钥
openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096
#使用上面的私钥创建证书,这个证书被称为根证书,一台电脑将这个证书导入到“受信任的根证书颁发机构”后就相当于信任的这个CA
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
3.4.8 使用CA颁发证书并绑定到nginx
#在centos19上生成私钥
openssl genrsa -out httpd.key 4096
#在centos19上生成证书申请文件
openssl req -new -key httpd.key -out httpd.csr -days 3650
#编辑nginx配置文件/etc/nginx/nginx.conf,将新申请的私钥和证书绑定到nginx
使配置生效
Nginx -s reload
3.4.9 使用windows01访问测试---预期效果证书不信任
访问https://centos19发现证书不信任
查看证书发现证书是由centos18颁发给centos19的,证明是CA颁发的证书
3.4.10 windows01添加对CA(centos18)的信任
将3.4.7中CA生成的自签名证书文件cakey.pem拷贝到windows01上,但是需要将后缀名修改为crt,将这个证书文件导入到“受信任的根证书颁发机构”
打开这个文件并导入,如下图可以看出该根证书文件的确是由CA(centos18)颁发给自己的。
做完该操作之后就信任了CA了,以后CA颁发的所有证书都不用再单独做信任关系了。
3.4.11 使用windows01访问测试---预期效果证书信任
完成上一步操作之后,再次访问页面已经没有证书警告了