OpenSSL及创建私有CA（1802）

1.来自维基百科上对于OpenSSL的定义：

在电脑网络上，OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
其主要库是以C语言所写成，实现了基本的加密功能，实现了SSL与TLS协议。OpenSSL可以运行在绝大多数类Unix操作系统上（包括Solaris，Linux，Mac OS X与各种版本的开放源代码BSD操作系统），OpenVMS与 Microsoft Windows。它也提供了一个移植版本，可以在IBM i（OS/400）上运作。
虽然此软件是开放源代码的，但其授权书条款与GPL有冲突之处，故GPL软件使用OpenSSL时（如Wget）必须对OpenSSL给予例外。

2.主要功能

• libcrypto加密库
• libssl：TLS/SSL的实现
• openssl命令行工具

实现私有证书颁发机构
子命令：可以输入openssl ?查看

3.OpenSSL实现私有CA

3.1. 生成一对密钥

用法格式：openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]

(umask 077;openssl genrsa -out server1024.key 1024) 这个命令用括号括住表示只在子shell中生效并且文件保持比较低的权限以利于安全性,生成一个私钥简单示例如下图：

生成一个rsa私钥

根据私钥生成公钥的命令：
openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passinarg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]
openssl rsa -in server1024.key -pubout：这个命令会根据私钥提取一个公钥。

根据私钥生成一个公钥

3.2. 生成自签署证件（这样才能给“别人”发证）

使用openssl req子命令。具体用法格式如下：
openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-outfilename] [-passout arg] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-new][-rand file(s)] [-newkey rsa:bits] [-newkey alg:file] [-nodes] [-key filename][-keyform PEM|DER] [-keyout filename] [-keygen_engine id] [-[digest]] [-configfilename] [-subj arg] [-multivalue-rdn] [-x509] [-days n] [-set_serial n][-asn1-kludge] [-no-asn1-kludge] [-newhdr] [-extensions section] [-reqexts section][-utf8] [-nameopt] [-reqopt] [-subject] [-subj arg] [-batch] [-verbose] [-engineid]
示例：openssl req -new -x509 -key server1024.key -out server.crt -days 365

生成证书

openssl x509 -text -in server.crt 可以查看

注：CA证书与密钥等不能随便放，具体的保存路径文件请参考/etc/pki/tls/openssl.cnf文件内容中的[CA_default]标签说明，部分内容如下图

/etc/pki/tls/openssl.cnf文件

4. 实战演练

4.1 查看/etc/pki/tls/openssl.cnf文件关于CA的配置（上图文件）并创建相关目录文件

/etc/pki/CA/certs：客户端证书保存的目录
/etc/pki/CA/crl：证书吊销列表目录
/etc/pki/CA/index.txt：写明给哪些“人”发了证书的数据库文件
/etc/pki/CA/cacert.pem：自己的证书文件
/etc/pki/CA/newcerts：刚生成的证书
/etc/pki/CA/serial：证书序列号
/etc/pki/CA/crlnumber：证书吊销已经到哪了
/etc/pki/CA/crl.pem：当前证书吊销列表文件
/etc/pki/CA/private/cakey.pem：CA自己的私钥
default_days = 365：默认的证书有效天数，可自定义
还可以自定义设置 [req_distinguished_name] 标签

# cd /etc/pki/CA
# (umask 077; openssl genrsa -out private/cakey.pem 2048)    ---> 生成私钥
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem  [有效期（天）]--->生成自签名证书。
# 这一步会根据openssl.cnf里[req_distinguished_name]标签里的定义要求你依次
# 输入相关信息
# `openssl x509 -in cacert.pem -noout -text` ---> 可以查看CA证书内容。
# mkdir certs newcerts crl   ----> 如果已经有了，就无须再新建了
# touch index.txt
# touch serial 
# echo 01 > serial   ----> 给个起始号码
---以下步骤模拟另一主机的http服务行为---
# mkdir -p /etc/httpd/ssl   
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out httpd.key 1024)   ---> 生成私钥
# openssl req -new -key httpd.key -out httpd.csr    ---->会让你填主机名 邮箱询问是否加密等信息生成certificate request
# openssl ca -in httpd.csr -out httpd.crt [-days 365]  ---->让CA给你的请# 求签下名（通过配置文件/etc/pki/tls/openssl.cnf检查，有两次询问）,当然这里是在本机上演示，也可以远程连接，如果是远程的话得将上一步生成的csr文件传到远程主机上，对应的当前这条命令应该在远程主机上运行。
# 这时候在/etc/pki/CA/index.txt里就会生成证书数据文件

openssl ca