0029openssl

Posted 2020-12-25 linux777

ssh协议另外一种实现：dropbear

openssl

    三个组件

        openssl：多用途的命令行工具

        libcrypto：加密解密库

        libssl：是ssl协议的实现

    PKI：Public Key Infrastructure

        CA

        RA

        CRL

        证书存取库

    

    建立私有CA

        OpenCA

        openssl

    证书申请及签署步骤：

        1、生成申请请求（需要提供国家、身份、邮箱等信息）

        2、RA核验

        3、CA签署

        4、获取证书

    创建私有CA

        #默认配置文件，CA_default默认配置

        cat /etc/pki/tls/openssl.cnf 

                 配置信息

                CA_default

                dir=/etc/pki/CA 工作目录

                certs=$dir/certs 已签署证书

                crl_dir=$dir/crl 证书吊销列表

                database=$dir/index.txt 证书索引列表

                new_certs_dir=$dir/newcerts 刚刚签署证书存放目录

                certificate=$dir/cacert.pem ca自己的证书，公钥

                private_key= $dir/private/cakey.pem #自己的私钥

                clr=$dir/crl.pem 当前正在使用的crl

                serial=$dir/serial 证书序列号

                crlnumber=$dir/crlnumber 吊销序序列号

                default_day=365 证书有效期

        #1、创建所需要的文件

            cd /etc/pki/CA

            touch index.txt

            echo 01 > serial #01后面要有空格

        #2、CA自签证书

            #生成私钥文件

            (umask 077;openssl genrsa -out private/cakey.pem 2048)

            #生成自签证书

            openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem

                        Country Name：CN

                        State or Pro....：Beijing

                        Organization Name：MageEdu

                        Organization Unit Name：Ops

                        Common Name：ca.mageedu.com

                        Email Address：[email protected]

                -new：生成新证书签署请求

                -x509：专用于CA生成自签证书

                -key：生成请求时用到的私钥文件

                -days n：证书的有效期限

                -out /path/to/somewhere：证书的保存路径

            #发证

                1、用到证书的主机生成证书请求

                2、把请求文件传输给CA

                3、CA签署证书，并将证书发还给请求

                    cd /etc/httpd

                    mkdir ssl

                    #生成私钥

                    (umask 077;openssl genrsa -out httpd.key 2048)

                    #生成请求

                    openssl req -new -key httpd.key -days 365 -out httpd.csr

                                #与自签证书信息保持一致

                        Country Name：CN

                        State or Pro....：Beijing

                        Organization Name：MageEdu

                        Organization Unit Name：Ops

                        Common Name：www.magedu.com

                        #域名是客户端使用的域名

                        Email Address：[email protected]

             #传到CA服务器

             scp httpd.csr [email protected]:/tmp

            

           4、切换到CA服务器

                #签署证书

                openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365

                #查看更新结果

                cat index.txt

                ls newcerts

                #把证书传给客户端

                        scp /tmp/httpd.crt [email protected]:/etc/httpd/ssl

       

                    5、吊销证书

                        1、客户端获取要吊销的证书的serial

                            openssl -x509 -in /path/from/cert_file -noout -serial -subject

                        2、CA

                            检查serial subjec信息和index.txt文件对比

                            openssl ca -revoke /etc/pki/CA/newcerts/SERTAL.pem

                        3、生成吊销证书的编号（第一次吊销一个证书）

                            echo 01 > /etc/pki/CA/crlnumber

                        4、更新证书吊销列表

                            openssl ca -gencrl -out thisca.crl

                            查看crl文件

                            openssl crl -in /path/from/crl_file.crl -noout -text