CA认证

 

CA认证

CA：Certificate Authority

1）PKI: Public Key Infrastructure公钥基础设施

PKI: 

      TLS/SSL、x509

      OpenGPG

x509:

        公钥及期有效期限

        证书的合法拥有者

        证书该如何被使用

        CA的信息

        CA签名的校验码

要实现认证，我们首先要了解加密方法与加密算法

1、对称加密

2、单向加密

3、公钥加密

1、对称加密：加密解密使用同一个密钥

           DES：Data Encrption Standard, 56bit

           3DES：

           AES：Advanced

           AES192, AES256, AES512

           Blowfish

2、单向加密：散列、加密：提取数据特征码，常用于数据完整性校验

           MD4

           MD5

           SHA1

           SHA192, SHA256, SHA384

           CRC-32

3、公钥加密：（加密/签名）一对儿密钥，公钥，私钥；公钥隐含于私钥中，可以提取出来，并公开出去

          身份认证（数字签名）

          数据加密

          密钥交换

2）OpenSSL: SSL的开源实现

          libcrypto: 加密库

          libssl: TLS/SSL的实现

          openssl: 多用途命令行工具

          子命令

3）Openssl还实现私有CA认证

1、创建CA

         自己生成一对密钥；

          生成自签证书；

2、客户端

          生成一对密钥；

          生成证书颁发请求, .csr；

          将请求发给CA；

3、CA端

          签署此证书；

          传送给客户端；

实例：

CA服务器：

1、vim /etc/pki/tls/openssl.cnf

      dir=/etc/pki/CA

2、cd /etc/pki/CA

     # make certs newcerts crl

     # touch index.txt

     # echo 01 > serial

3、自签证书

    # (umask 077; openssl genrsa -out private/cakey.pem 2048)

    # openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 3650

CA客户端：

1、为某服务生成密钥：

      # cd /etc/vsftpd/

      # mkdir ssl

      # cd ssl

      # (umask 077; openssl genrsa 1024 > vsftpd.key)

      # openssl req -new -key vsftpd.key -out vsftpd.csr

2、将此请求通过某方式传递给CA服务器

      #scp vsftpd.key 172.16.33.2:/tmp/

      #scp vsftpd.csr 172.16.33.2:/tmp/

3、CA签署证书(在CA服务器上操作)

      # openssl ca -in vsftpd.csr -out vsftpd.crt -days 365