创建私有CA, 加密解密基础, PKI, SSL

Posted GETTOLIVE

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了创建私有CA, 加密解密基础, PKI, SSL相关的知识,希望对你有一定的参考价值。

发现了一篇图文并茂的超棒的  加密解密, CA, PKI, SSL 的基础文章, 链接如下:
https://blog.csdn.net/lifetragedy/article/details/52238057

 


 

简要描述一下概念:

  PKI: Public Key Infrastructure, 公钥体系

    包含, CA, RA, CRL,证书存取库

    CA: 证书签发机构

    RA: 证书注册机构

  X.509是证书标准规范, 定义了证书的结构以及认证协议标准, 现在使用多为v3版本

  SSL: Secure Socket Layer 安全的套接字层

  TLS:Transport Layer Security 安全传输层协议

    分层设计:1.最底层: 基础算法原语的实现, aes, rsa, md5

        2.向上一层: 各种算法的实现

            例如: aes-128-cdb-pkcs7

        3.再向上一层: 组合算法实现的半成品

        4. 用各种组件拼装而成的各种成品密码学协议/软件; 例如 tls, ssh


创建私有CA的简明操作:

  操作环境: VMware 虚拟两台 CentOS 7.4, 两机互通

    CA签发服务器为 192.168.142.128 --> CA server

    申请CA签发的客户端为 192.168.142.135  --> CA client

  证书申请及签署步骤:

    1. 生成申请请求
    2. RA核验
    3. CA签署
    4. 证书获得及发放

  简明CA相关文件及目录:

    1. openssl默认配置文件: /etc/pki/tls/openssl.cnf --> 有必要的情况下可以修改, 一般不动
      ####################################################################
      [ CA_default ]
      
      dir                 = /etc/pki/CA            # Where everything is kept     -->证书目录
      certs               = $dir/certs             # Where the issued certs are kept   -->证书存取库
      crl_dir             = $dir/crl               # Where the issued crl are kept    -->证书吊销列表
      database            = $dir/index.txt         # database index file.       -->数据库的索引文件
      #unique_subject     = no                     # Set to \'no\' to allow creation of    -->是否证书主体必须唯一
                                                               # several ctificates with same subject.
      new_certs_dir       = $dir/newcerts          # default place for new certs.   -->刚刚签完的证书放哪儿
      
      certificate         = $dir/cacert.pem        # The CA certificate     -->CA自己的证书
      serial              = $dir/serial            # The current serial number    -->证书的序列号
      crlnumber           = $dir/crlnumber         # the current crl number   -->吊销的证书的序列号
                                          # must be commented out to leave a V1 CRL
      crl                 = $dir/crl.pem           # The current CRL     -->当前正在使用的吊销的证书
      private_key         = $dir/private/cakey.pem# The private key    -->CA自己的私钥
      RANDFILE            = $dir/private/.rand     # private random number file                 
      
      x509_extensions     = usr_cert               # The extentions to add to the cert
    2. 必要的文件及目录如下:
      1. # touch index.txt
        -->数据库的索引文件
      2. # echo 1 > serial
        -->证书的序列号

  创建私有CA步骤:

    1. 在完成上面的文件创建后, 给CA自己发一个证明自己是CA的自签证书

      在CA server完成

      

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) 
#生成4096位的RSA私钥,输出文件为 cakey.pem
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out cacert.pem
#以上述私钥为基准生成一个CA自签证书

自签证书时, 会要求你输入: 国家信息, 省份信息, 城市信息, 公司名称, 公司类型, 主机名, 管理邮箱; 处于测试目的, 我们随便填一下好了;

    2.自签做完, CA server等于启动了; 转移到client虚拟机, 请求发证; 以httpd为例

(umask077; openssl genrsa -out /etc/httpd/ssl/httpd.key 4096)
#生成密钥
openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
#生成证书请求文件, 注意, 此处只是证书请求文件, 未经过CA签名认证

    

    3. 发送证书申请书到CA server, 由CA server签名盖章后发回client

scp /etc/httpd/ssl/httpd.csr root@192.168.142.128:/tmp/
#发送到CA server 的/tmp目录下

 

以下为CA server操作

 

cd /tmp
ll -t

 

我们看到httpd.csr已经成功传送到CA server上来了

接下来, 就是对其签证的操作:

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
#生成证书, 并保存到CA server的证书目录下, 有效期为一年; 注意此处后缀为统一后缀
#
#查看证书中的信息:
# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -text -subject

 

 证书已签名, 发放给client

scp /etc/pki/CA/certs/httpd.crt root@192.168.142.135:/etc/httpd/ssl

证书成功发放

  4.吊销证书  

  **首次吊销时需要操作** echo 01 > /etc/pki/CA/crlnumber 

  

    在client获取要吊销的证书的serial编号 openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject 

    在CA server端对比检验 上述信息是否与 /etc/pki/CA/index.txt 文本中信息一致;

    CA server操作吊销证书:

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

    更新证书吊销列表: openssl ca -gencrl -out THISCA.crl 

至此私有CA发放完成, 注意此CA仅在互相任何的情况下才能生效;


 

  CA证书的用法在后续随笔中会继续提到, 例如 httpd的https服务, 或者nginx的https服务等;


 

 关于CA签发过程中的后缀: 

  • 私钥 *.key
  • 公钥 *.pem
  • 待申请证书 *.csr
  • 证书 *.crt  -->必须

  

以上是关于创建私有CA, 加密解密基础, PKI, SSL的主要内容,如果未能解决你的问题,请参考以下文章

加密解密技术基础PKI及创建私有私有CA

加密和解密技术基础PKI及创建私有CA

建立私有CA及Nginx绑定SSL加密

openssl创建私有ca

自建私有CA

一文弄懂关于证书,签名,ssl,android包签名机制。