Linux搭建CA服务

Posted 2021-01-24

什么是CA认证？

CA认证，即CA认证机构，为电子签名相关各方提供真实性、可靠性验证的行为。

什么是CA证书？

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

CA证书类型？

• 证书颁发机构自签名证书
• 服务器证书
• 用户证书

Linux系统如何搭建CA服务？

1.安装相关工具：openssl
yum install openssl -y
2.openssl相关配置文件：/etc/pki/tls/openssl.cnf
指定默认使用的CA

[ ca ]
default_ca      = CA_default            # The default ca section
CA的相关配置
[ CA_default ]
dir             = /etc/pki/CA               ?    ?    ?    ?# Where everything is kept，CA的工作目录
certs           = $dir/certs                ?    ?         # Where the issued certs are kept，已经颁发的证书存放目录
crl_dir         = $dir/crl                  ?    ?        ?  ? # Where the issued crl are kept，证书吊销列表存放目录
database        = $dir/index.txt            ?      ? # database index file，证书的索引数据库

new_certs_dir   = $dir/newcerts             ?   # default place for new certs，新证书存放目录
certificate     = $dir/cacert.pem           ?    ? # The CA certificate，CA证书
serial          = $dir/serial               ?    ?    ?    ?# The current serial number，当前证书编号
crlnumber       = $dir/crlnumber            ?  # the current crl number，当前吊销证书编号

crl             = $dir/crl.pem              ?    ?    ?   # The current CRL，当前的吊销证书
private_key     = $dir/private/cakey.pem # The private key，CA私钥
RANDFILE        = $dir/private/.rand        ? # private random number file，随机文件

default_days    = 365                       ?    ?    ?# how long to certify for，证书有效期
default_crl_days= 30                        ?    ?    ?# how long before next CRL，发布证书 吊销列表的周期
default_md      = sha256                    ?    ?  # use SHA-256 by default，算法
preserve        = no                                    # keep passed DN ordering

policy          = policy_match    ?    ?    ?    ?    ?    ?#选择使用的策略类型
# For the CA policy
[ policy_match ]    ?    ?    ?    ?    ?    ?    ?    ?    ?    ?#第一种策略
countryName             = match    ?    ?    ?    ?     ?#是否匹配国家
stateOrProvinceName     = match    ?    ?    ?    #是否匹配省

organizationName        = match    ?    ?    ?    ?  #是否匹配组织名称
organizationalUnitName  = optional    ?    ?   #是否单元名称
commonName              = supplied    ?    ?    ?  #通用名
emailAddress            = optional    ?    ?    ?    ?   #邮箱

# For the ‘anything‘ policy
# At this point in time, you must list all acceptable ‘object‘
# types.
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

3.创建CA

（1）创建索引数据库文件和指定证书编号 ? ? ?

touch /etc/pki/CA/index.txt
echo 01 >/etc/pki/CA/serial

（2）CA自签名证书

生成私钥：

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成自签名证书：

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

（3）客户端创建申请文件
生成客户端私钥：

(umask 066;openssl genrsa -out app.key 1024)

生成申请文件：

 openssl req -new -key app.key -out app.csr

将生成的申请文件发送到CA颁发服务器

scp app.csr 192.168.128.130:/etc/pki/CA/

（4）CA服务器为客户端颁发证书

openssl ca -in app.csr -out certs/app.crt -days 100

（5）将生成的证书发送给申请的客户端

 scp certs/app.crt 192.168.128.129:

证书吊销
生成吊销证书序号文件

echo 01 >crlnumber

吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

生成吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

注意事项：
1.必须要提前创建证书数据库引导文件/etc/pki/CA/index.txt
2.指定证书编号，证书颁发完成后会自动更新证书序号