Openssl搭建私有CA认证

昭其 Linux干货

概述

CA英文全称Certification Authority,即数字证书认机构。从广义上来说,CA是负责发放和管理数字证书的权威机构,并作为用户数字认证中受信任的第三方,承担公钥体系(PKI)中公钥的合法性检验的责任,在互联网上,实现用户与用户、用户与企业之间的数字身份认证。

本文通过使用openssl进行搭建私有CA认证体系,从而简单地了解CA的认证过程。搭建私有CA,可以实现企业内部认证加密。

环境部署

本文环境基于 CentOS 6.8

wKiom1fijmuytQIkAALGFevsae0320.png

步骤流程

wKioL1fiQSTTTQCVAAD7ba3OYjY090.png

具体操作

1. CA的配置文件

首先我们可以查看 /etc/pki/tls/openssl.cnf 的文件,找到以下内容了解CA的配置信息

#######################################################
[ ca ]
default_ca    = CA_default        # The default ca section
#######################################################
[ CA_default ]
dir        = /etc/pki/CA        # CA的工作目录
certs        = $dir/certs        # 证书存放位置
crl_dir        = $dir/crl        # 吊销列表
database    = $dir/index.txt    # 索引文件数据库,本文件自动生成
#unique_subject    = no            # Set to 'no' to allow creation of
                    # several ctificates with same subject.
new_certs_dir    = $dir/newcerts        # 默认新签署证书存放目录.
certificate    = $dir/cacert.pem     # CA自己的证书
serial        = $dir/serial         # 当前发出去的证书的序列号
crlnumber    = $dir/crlnumber    # 吊销的证书序列号
                    # must be commented out to leave a V1 CRL
crl        = $dir/crl.pem         # 当前正在使用的CRL (证书列表文件)
private_key    = $dir/private/cakey.pem# CA自己的私钥(建议限制权限600 )
RANDFILE    = $dir/private/.rand    # 随机数种子
x509_extensions    = usr_cert        # 用户扩展

2. 客户端配置

2.1. 在客户端生成密钥,建议保存至应用此证书的服务的配置文件目录下:

(演示假设证书应用于 httpd 服务,按建议,我们到 httpd 的配置文件目录下创建文件)

[root@IP160-C6-httpd ~]# >>mkdir /etc/httpd/ssl
[root@IP160-C6-httpd ~]# >>cd /etc/httpd/ssl
[root@IP160-C6-httpd ~]# >>( umask 077 ; openssl genrsa -out httpd.key 1024 )
       # 建议:子shell中更改umask,新建文件权限即为600,子shell的umask不影响全局

wKiom1fiUZmwQ-9SAAAjQjXFTMo173.png

2.2. 生成证书签署请求:

Tips: CSR是Certificate Signing
Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请
者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

来自<http://baike.baidu.com/link?url=TD6KI4WvcgOHWfxuocHFvD54VHQIO5aAxn4B8k3cUg2a_RMmoK4CcktqsmdhRMVLj7cv4pXnjA5p8NdgBEsoyq>

 生成

[root@IP160-C6-httpd ssl]# >>openssl req -new -key httpd.key -out httpd.csr
        #通过加载httpd.key生成一个新请求,保存为httpd.csr

 创建过程中需要进行交互式填写信息:()

1). 国家:CN 两位国家代码(可以在/etc/pki/tls/openssl.cnf设置默认值)

2). 省份:beijing

3).   市: beijing

4). 公司:Client.Co

5). 部门:RD

6). 名字:www.client.com      #非常重要,

7). 联系:test@client.com    #测试使用

8). 密码:#将申请文件加密

wKioL1fiVE3xut2pAACOv3GLqbA179.png

 

2.3. 将httpd.csr发给CA服务器

[root@IP160-C6-httpd ssl]# >>scp httpd.csr root@10.10.20.200:/root/pem
    #测试环境中使用scp传输文件到CA服务器

wKioL1fiX-6gZOAQAAAVgBlPsO0503.png

 

3. 服务器配置

3.1.  生成自己的密钥对

CA服务器的配置目录初始环境

wKioL1fiZ8WgpBhaAAAYWYcGKOU672.png

我们进入 /etc/pki/CA/ 目录生成私钥:(留意当前目录,与相对路径)

[root@IP200-C6-CA ~]# >>cd /etc/pki/CA/
[root@IP200-C6-CA CA]# >>tree -C .
[root@IP200-C6-CA CA]# >>( umask 077 ; openssl genrsa -out private/cakey.pem 2048 )

wKiom1fiaSqyvzucAAAvV5sKLKo937.png

 

 如果想查看公钥:(非必要步骤)

[root@IP200-C6-CA CA]# >>openssl rsa -in private/cakey.pem -pubout -text -noout

 

3.2. 生成自签证书

[root@IP200-C6-CA CA]# >>openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
  # -new  创建一个认证申请;
  # -x509 生成一份 X.509 证书,只有自签署时候才需要此选项,简化(申请-签署)过程;
  # -key    指明私钥文件;
  # -out    输出证书文件;
  # -days  签署证书有效期。

wKioL1fibMOBOZPvAABgRgePi1I350.png

 

3.3. 创建所需文件,指定证书编号初始值

完成 3.2. 后,此时配置目录下的状态:

wKiom1fibVjCQqQUAAAa_RZ2rso748.png

我们还需要新建部分初始文件,以保证CA服务正常运行

[root@IP200-C6-CA CA]# >>touch index.txt serial crlnumber
[root@IP200-C6-CA CA]# >>echo 01 > serial
  #设置序号从01开始

wKioL1fib8iAvHPFAAAq-V_c-1E269.png

到此,我们已经完成了搭建根CA服务器的过程。

3.4. 签署client的证书

CA服务器签署客户端证书的命令很简单:

[root@IP200-C6-CA CA]# >>openssl ca  -in ~/pem/httpd.csr -out ~/pem/httpd.crt

此时我们运行会报错:↓↓↓↓↓↓↓

[root@IP200-C6-CA CA]# >>ll ~/pem/httpd.csr 
-rw-r--r--. 1 root root 761 Sep 21 17:49 /root/pem/httpd.csr
[root@IP200-C6-CA CA]# >>openssl ca  -in ~/pem/httpd.csr -out ~/pem/httpd.crt
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
The stateOrProvinceName field needed to be the same in the
CA certificate (shanghai) and the request (beijing)

我们在查看 /etc/pki/tls/openssl.cnf 的文件,发现这一段内容:

原因是CA配置默认启用的是 policy_match ,限制客户端注册信息部分需要匹配CA服务器。

# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy        = policy_match
# For the CA policy
[ policy_match ]
countryName        = match
stateOrProvinceName    = match
organizationName    = match
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = optional
# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName        = optional
stateOrProvinceName    = optional
localityName        = optional
organizationName    = optional
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = optional
####################################################################

所以我们只需修改为 policy_anything:

Openssl搭建私有CA认证

再次运行签署证书命令:

签署过程需要交互回答两个问题

Sign the certificate? [y/n]:y   #签署确认
1 out of 1 certificate requests certified, commit? [y/n]y   #写入证书数据库

Openssl搭建私有CA认证

我们看到证书已经在CA服务器上完成签署,数据库也记录在案了。

Openssl搭建私有CA认证

注:CA服务器吊销证书:(证书名)

  openssl ca -revoke /PATH/TO/SOMEFILE.crt (证书名)

3.5. 回传已签署的证书给客户端

[root@IP200-C6-CA CA]# >>scp ~/pem/httpd.crt root@10.10.20.160:/etc/httpd/ssl

 Openssl搭建私有CA认证

至此,我们完成了整个CA搭建,客户端证书认证的过程。

原创文章,作者:昭其,如若转载,请注明出处:http://www.178linux.com/48411

(1)
昭其昭其
1
上一篇 2016-09-21 22:19
下一篇 2016-09-22 09:17

相关推荐

  • 一周学会shell编程之小结1

    一周学会shell编程之小结1 内容: shell脚本创建与执行 变量 条件测试 if,case判断语句 练习   检查错误: bash -n path 调试执行: bash -x path   创建shell脚本步骤: 1 添加第一行 #!/bin/bash 2 给予…

    Linux干货 2016-08-15

  • class-6 用户组管理(二) 权限管理

                      一、用户组管理  1、设置修改用户密码密码      设置密码     passwd [OPT…

    Linux干货 2016-08-05

  • sed文本处理工具

    Sed是一种流编辑器,它一次处理一行内容。处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space),接着用sed命令处理缓冲区中的内容,处理完成后,把缓冲区的内容送往屏幕。接着处理下一行,这样不断重复,直到文件末尾。文件内容并没有改变,除非你使用重定向存储输出。Sed主要用来自动编辑一个或多个文件,简化对文件的反复操作,编写转…

    Linux干货 2017-12-02
  • Linux磁盘分区创建及bash 简单应用 Linux干货

    Linux磁盘分区创建及bash 简单应用

    1、创建一个10G分区,并格式为ext4文件系统; (1)要求其block大小为2048,预留空间百分比为2,卷标为MYDATA,默认挂载属性包含acl; (2)挂载至/data/mydata目录,要求挂载是禁止程序自动运行,并且更新文件的访问时间戳; [root@danry ~]# fdisk /dev/sdb Welcome to fdisk (util…

    2017-09-11

  • N25 第五周博客

      1、显示当前系统上root、fedora或user1用户的默认shell;      ]# egrep "^root\b|^user1\b|^fedora\b" /etc/passwd | cut -d: -f1,7…

    Linux干货 2017-01-04

  • 开源堡垒机-01-JumpServer的安装

    前段时间曾经用过JumpServer帮助一个客户完成了他的关于堡垒机的需求,由于当时赶进度,没来得及将整个过程记录和完善,现在抽时间慢慢整理下。 1)JumpServer的介绍 Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。 支持常见系统: Cent…

    Linux干货 2016-07-22

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-23 12:09

    写的很详细,图片讲解的也很细腻,赞一个。

电话咨询
在线咨询