OpenSSL及创建私有CA(1802)

1.来自维基百科上对于OpenSSL的定义:

在电脑网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。OpenSSL可以运行在绝大多数类Unix操作系统上(包括Solaris,Linux,Mac OS X与各种版本的开放源代码BSD操作系统),OpenVMS与 Microsoft Windows。它也提供了一个移植版本,可以在IBM i(OS/400)上运作。
虽然此软件是开放源代码的,但其授权书条款与GPL有冲突之处,故GPL软件使用OpenSSL时(如Wget)必须对OpenSSL给予例外。

2.主要功能

  • libcrypto加密库
  • libssl:TLS/SSL的实现
  • openssl命令行工具

实现私有证书颁发机构
子命令:可以输入openssl ?查看

3.OpenSSL实现私有CA

3.1. 生成一对密钥

用法格式:openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]

(umask 077;openssl genrsa -out server1024.key 1024) 这个命令用括号括住表示只在子shell中生效并且文件保持比较低的权限以利于安全性,生成一个私钥简单示例如下图:

OpenSSL及创建私有CA(1802)_第1张图片
生成一个rsa私钥

根据私钥生成公钥的命令:
openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passinarg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]
openssl rsa -in server1024.key -pubout:这个命令会根据私钥提取一个公钥。
OpenSSL及创建私有CA(1802)_第2张图片
根据私钥生成一个公钥

3.2. 生成自签署证件(这样才能给“别人”发证)

使用openssl req子命令。具体用法格式如下:
openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-outfilename] [-passout arg] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-new][-rand file(s)] [-newkey rsa:bits] [-newkey alg:file] [-nodes] [-key filename][-keyform PEM|DER] [-keyout filename] [-keygen_engine id] [-[digest]] [-configfilename] [-subj arg] [-multivalue-rdn] [-x509] [-days n] [-set_serial n][-asn1-kludge] [-no-asn1-kludge] [-newhdr] [-extensions section] [-reqexts section][-utf8] [-nameopt] [-reqopt] [-subject] [-subj arg] [-batch] [-verbose] [-engineid]
示例:openssl req -new -x509 -key server1024.key -out server.crt -days 365

OpenSSL及创建私有CA(1802)_第3张图片
生成证书

openssl x509 -text -in server.crt 可以查看

注:CA证书与密钥等不能随便放,具体的保存路径文件请参考/etc/pki/tls/openssl.cnf文件内容中的[CA_default]标签说明,部分内容如下图

OpenSSL及创建私有CA(1802)_第4张图片
/etc/pki/tls/openssl.cnf文件

4. 实战演练

4.1 查看/etc/pki/tls/openssl.cnf文件关于CA的配置(上图文件)并创建相关目录文件

/etc/pki/CA/certs:客户端证书保存的目录
/etc/pki/CA/crl:证书吊销列表目录
/etc/pki/CA/index.txt:写明给哪些“人”发了证书的数据库文件
/etc/pki/CA/cacert.pem:自己的证书文件
/etc/pki/CA/newcerts:刚生成的证书
/etc/pki/CA/serial:证书序列号
/etc/pki/CA/crlnumber:证书吊销已经到哪了
/etc/pki/CA/crl.pem:当前证书吊销列表文件
/etc/pki/CA/private/cakey.pem:CA自己的私钥
default_days = 365:默认的证书有效天数,可自定义
还可以自定义设置 [req_distinguished_name] 标签

# cd /etc/pki/CA
# (umask 077; openssl genrsa -out private/cakey.pem 2048)    ---> 生成私钥
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem  [有效期(天)]--->生成自签名证书。
# 这一步会根据openssl.cnf里[req_distinguished_name]标签里的定义要求你依次
# 输入相关信息
# `openssl x509 -in cacert.pem -noout -text` ---> 可以查看CA证书内容。
# mkdir certs newcerts crl   ----> 如果已经有了,就无须再新建了
# touch index.txt
# touch serial 
# echo 01 > serial   ----> 给个起始号码
---以下步骤模拟另一主机的http服务行为---
# mkdir -p /etc/httpd/ssl   
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out httpd.key 1024)   ---> 生成私钥
# openssl req -new -key httpd.key -out httpd.csr    ---->会让你填主机名 邮箱询问是否加密等信息生成certificate request
# openssl ca -in httpd.csr -out httpd.crt [-days 365]  ---->让CA给你的请# 求签下名(通过配置文件/etc/pki/tls/openssl.cnf检查,有两次询问),当然这里是在本机上演示,也可以远程连接,如果是远程的话得将上一步生成的csr文件传到远程主机上,对应的当前这条命令应该在远程主机上运行。
# 这时候在/etc/pki/CA/index.txt里就会生成证书数据文件

openssl ca

你可能感兴趣的:(OpenSSL及创建私有CA(1802))