私有CA和证书

Posted shenxm

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了私有CA和证书相关的知识,希望对你有一定的参考价值。

证书类型

    证书授权机构的证书
    服务器
    用户证书

获取证书两种方法

    使用证书授权机构:
        生成签名请求(csr )
        将csr发送给CA
        从CA处接收签名
    自签名的证书:
        自已签发自己的公钥

openSSL工具可以满足我们创建CA和证书

    1)PKI: Public Key Infrastructure
        签证机构:CA (Certificate Authority),真正的颁发证件机构,相当于公安局 
        注册机构:RA,相当于派出所
        证书吊销列表:CRL,相当于证件丢失时挂失的内容
        证书存取库:当别人请求认证是的资料库。
    
    2)数字证书的格式(X.509) :定义了证书的结构以及认证协议标准
        版本号
        序列号:CA用于唯一标识的此证书
        签名算法:
        颁发者:CA自己的名称
        有效期限
        主体名称:证书拥有者自己的名字
        主体公钥:证书拥有者自己的公钥
        CRL 分发点
        扩展信息
        发行者签名:CA对此证书的数字签名
    
    3)证书申请及签署步骤:
        1 、生成申请请求
        2 、RA 核验
        3 、CA 签署
        4 、获取证书

创建私有CA和颁发证书:

    openssl 的配置文件:
        /etc/pki/tls/openssl.cnf
        [ CA_default ]
        dir             = /etc/pki/CA           # Where everything is kept
        certs           = $dir/certs            # Where the issued certs are kept
        crl_dir         = $dir/crl              # Where the issued crl are kept
        database        = $dir/index.txt        # database index file.
        #unique_subject = no                    # Set to ‘no‘ to allow creation of
                                                # several ctificates with same subject.
        new_certs_dir   = $dir/newcerts         # default place for new certs.
        
        certificate     = $dir/cacert.pem       # The CA certificate
        serial          = $dir/serial           # The current serial number
        crlnumber       = $dir/crlnumber        # the current crl number
                                                # must be commented out to leave a V1 CRL
        crl             = $dir/crl.pem          # The current CRL
        private_key     = $dir/private/cakey.pem   # The private key
        
    三种策略:匹配、支持和可选
        匹配指要求申请填写的信息跟CA设置信息必须一致,
        支持指必须填写这项申请信息,
        可选指可有可无
        
    1)创建所需要的文件
        生成证书索引数据库文件:
            touch /etc/pki/CA/index.txt  
            系统会自动生成个index.txt.attr文件,用来决定是否使证书为唯一性,也就是是否可以重复申请证书
        指定第一个颁发证书的序列号:
            echo 01 > /etc/pki/CA/serial  
    
    2)CA自签证书
        生成私钥:
            cd /etc/pki/CA/
            openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
            chmod 600 cakey.pem
        生成自签名证书:
            openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem
            
    3)颁发证书
        1》在需要使用证书的主机生成证书请求
            在请求者Kernal的web服务器生成私钥:
                (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
            
            在请求者Kernal上生成证书申请文件:
                openssl req -new -key /etc/pki/tls/private/test.key  -days 365 -out /etc/pki/tls/test.csr
        2》将证书请求者Kernal的文件传输给CA
        3》CA签署证书,并将证书颁发给请求者Kernal:
            openssl ca -in /tmp/test.csr –out  /etc/pki/CA/certs/test.crt -days 365
             注意:
                默认国家,省,公司名称三项必须和CA一致,但可以修改/etc/pki/tls/openssl.cnf
                common name要使用此主机在通信真实使用的名字
        4》查看证书中的信息:
            openssl x509 -in  /PATH/FROM/CERT_FILE -noout -  text|issuer|subject|serial|dates
            openssl ca -status SERIAL:查看指定编号的证书状态 
    
    4)吊销证书
        1》在客户端获取要吊销的证书的serial(序列号)
            openssl x509 -in /PATH/FROM/cert_FILE -noout  -serial -subject
        2》在CA 上,根据客户提交的serial 与subject信息,对比检验是否与index.txt 文件中的信息一致,吊销证书:
            openssl ca -revoke /etc/pki/CA/newcerts/0SERIAL .pem
        3》指定第一个吊销证书的编号
            注意:第一次更新证书吊销列表前,才需要执行
            echo 01 > /etc/pki/CA/crlnumber
        4》更新证书吊销列表
            openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
            查看crl 文件:
                openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
    
    5)请求者Kernal作为下级CA
        1》Kernal生成自己的私钥:
            openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
            chmod 600 cakey.pem
        2》Kernal向根CA申请证书:
            openssl req -new  -key  /etc/pki/CA/private/cakey.pem  -out  /etc/pki/tls/testsubca.csr
            将亲求文件发给根CA
        3》根CA颁发子CA证书给请求者Kernal,并发给Kernal:
            openssl   ca  -in  testsubca.csr  -out  /etc/pki/CA/certs/testsubca.crt
            将testsubca.crt发送给Kernal
            在kernal上讲testsubca.crt 改名为cacert.pem并放置在 /etc/pki/CA
        4》Kernal给请求者Berl颁发证书
            在请求者Berl的web服务器生成私钥
            在请求者Berl上生成证书申请文件
            将证书请求者Kernal的文件传输给Kernal(CA)
            Kernal(CA)签署证书,并将证书颁发给请求者Berl

以上是关于私有CA和证书的主要内容,如果未能解决你的问题,请参考以下文章

私有CA建立和证书申请

私有CA建立和证书申请

私有CA的创建和证书的申请

建立私有CA

构建私有的 CA

创建私有CA并进行证书申请