CA认证

CA:Certificate Authority

1)PKI: Public Key Infrastructure公钥基础设施

PKI: 

      TLS/SSL、x509
      OpenGPG
x509:
        公钥及期有效期限
        证书的合法拥有者
        证书该如何被使用
        CA的信息
        CA签名的校验码

要实现认证,我们首先要了解加密方法与加密算法

1、对称加密
2、单向加密
3、公钥加密

1、对称加密:加密解密使用同一个密钥

           DES:Data Encrption Standard, 56bit
           3DES:
           AES:Advanced
           AES192, AES256, AES512
           Blowfish
2、单向加密:散列、加密:提取数据特征码,常用于数据完整性校验
           MD4
           MD5
           SHA1
           SHA192, SHA256, SHA384
           CRC-32
3、公钥加密:(加密/签名)一对儿密钥,公钥,私钥;公钥隐含于私钥中,可以提取出来,并公开出去
          身份认证(数字签名)
          数据加密
          密钥交换

2)OpenSSL: SSL的开源实现

          libcrypto: 加密库
          libssl: TLS/SSL的实现
          openssl: 多用途命令行工具
          子命令

3)Openssl还实现私有CA认证

1、创建CA
         自己生成一对密钥;
          生成自签证书;
2、客户端
          生成一对密钥;
          生成证书颁发请求, .csr;
          将请求发给CA;
3、CA端
          签署此证书;
          传送给客户端;

实例:

CA服务器:

1、vim /etc/pki/tls/openssl.cnf
      dir=/etc/pki/CA
2、cd /etc/pki/CA
     # make certs newcerts crl
     # touch index.txt
     # echo 01 > serial
3、自签证书
    # (umask 077; openssl genrsa -out private/cakey.pem 2048)
    # openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 3650

CA客户端:

1、为某服务生成密钥:
      # cd /etc/vsftpd/
      # mkdir ssl
      # cd ssl
      # (umask 077; openssl genrsa 1024 > vsftpd.key)
      # openssl req -new -key vsftpd.key -out vsftpd.csr
2、将此请求通过某方式传递给CA服务器
      #scp vsftpd.key 172.16.33.2:/tmp/
      #scp vsftpd.csr 172.16.33.2:/tmp/
3、CA签署证书(在CA服务器上操作)
      # openssl ca -in vsftpd.csr -out vsftpd.crt -days 365