數字證書授權中心
CA,Certificate Authority
--被通信雙方信任的、獨立的第三方機構
--負責證書頒發、驗證、撤銷等管理
國內常見的CA機構
--中國金融認證中心(CFCA)
--中國電信安全認證中心(CTCA)
--北京數字證書認證中心(BJCA)
PKI公鑰基礎設施
Public Key Infrastructure
--一套標準的密鑰管理平臺
--通過公鑰加密、數字證書技術確保信息安全
PKI體系的基本組成
--權威認證機構(CA)
--數字證書庫、密鑰備份及恢復系統
--證書作廢系統、應用接口
#####################################################################
OpenSSL加密工具
實現SSL/TLS協議及各種加密應用
對稱加密
-enc算法 -e -in 輸入文件 -out 輸出文件
-enc算法 -d -in 輸入文件 -out 輸出文件
驗證口# vim f1.txt
aaaaaaaa
bbbbbbbbbbbb
ccccccccc
將f1.txt加密爲f1.txt.enc
openssl enc -des3 -e -in f1.txt -out f1.txt.enc
設置口令
rm -rf f1.txt
openssl en將f1.txt.enc解密爲f1.txt令c -des3 -d -in f1.txt.enc -out f1.txt
###################################################################
一、企業自有CA的建立
- 配置CA簽署環境 192.168.4.17
[root@pli ~]# cd /etc/pki/CA/
[root@pli ~]# vim /etc/pki/tls/openssl.cnf
[CA_default]
dir = /etc/pki/CA //CA簽署工作目錄
certs = $dir/certs //用戶證書存放路徑
certificate = $dir/my-ca.crt //CA根證書文件
private_key = $dir/private/my-ca.key //CA私鑰文件
... ...
[ req_distinguished_name ]
countryName_default = CN
stateOrProvinceName_default = xian
localityName_default = xian
0.organizationName_default = tarena
[root@pli CA]# ls
certs crl newcerts private
[root@pli CA]# touch index.txt
[root@pli CA]# chmod 600 index.txt 讓管理員有讀寫權限
[root@pli CA]# echo 01 > serial 證書編號從。。。開始
[root@pli CA]# cat serial
01
[root@pli CA]# ls
certs crl index.txt newcerts private serial
-
爲CA服務器生成私鑰
[root@pli CA]# cd private/
[root@pli private]# pwd
/etc/pki/CA/private
[root@pli private]# openssl genrsa -des3 2048 > my-ca.key
Generating RSA private key, 2048 bit long modulus
....................+++
...........+++
e is 65537 (0x10001)
Enter pass phrase: 設私鑰口令
Verifying - Enter pass phrase: 重複私鑰口令
[root@pli private]# ls
my-ca.key
[root@pli private]# chmod 600 my-ca.key
[root@pli private]# ls -l my-ca.key
-rw-------. 1 root root 1751 1月 4 04:37 my-ca.key - 爲CA服務器創建根證書
[root@plj private]# openssl req -new -x509 -key my-ca.key -days 365 > ../my-ca.crt
驗證私鑰口令
4.發佈根證書文件
安裝httpd
關閉防火牆,設定selinux
[root@pli CA]# ls
my-ca.crt
[root@pli CA]# mkdir /var/www/html/ca
[root@pli CA]# cp my-ca.crt /var/www/html/ca/
[root@ca CA]# systemctl start httpd
可通過訪問192.168.4.17/ca下載證書
##################################################################
二、郵件TLS/SSL 192.168.4.18
郵件服務器的配置:192.168.4.18 mail.tedu.cn
1 systemctl start postfix 25 smtp
2 systemctl start dovecot 110 pop3 143 imap
995 pop3s 993 imaps
3 創建私鑰文件
4 創建證書請求文件
5 上傳證書請求文件給CA服務器
6 配置服務運行時調用私鑰文件 數字證書文件
6.1 配置發郵件服務
6.2 配置收郵件服務
7 客戶端在軟件裏設置連接郵件服務器時 是否加密協議
CA服務器的配置:192.168.4.17 plj.ca.com
1 審覈證書請求文件 並簽發數字證書:
2 下發數字證書文件給郵件服務器
[root@mail ~]# cd /etc/pki/tls/private/
[root@mail private]# openssl genrsa 2048 > mail.key //創建私鑰
[root@mail private]# openssl req -new -key mail.key > ~/mail.csr //csr證書請求文件
國家/省/公司名必須與根證書保持一致
[root@mail private]# cat ~/mail.csr
[root@mail private]# scp ~/mail.csr 192.168.4.17:/tmp/
[root@plj]# ls /tmp
mail.csr
[root@plj]# cd /etc/pki/CA/certs/
[root@plj certs]# openssl ca -in /tmp/mail.csr > mail.crt
驗證私鑰口令
y
y
Write out database with 1 new entries
Data Base Updated
[root@plj certs]# ls
mail.crt
[root@plj certs]# scp mail.crt 192.168.4.18:/root/ 下發數字證書
[root@mail ~]# ls
mail.crt
[root@mail ~]# vim /etc/dovecot/conf.d/10-ssl.conf //配置收郵件服務,修改配置文件的14行和15行
14 ssl_cert = </etc/pki/dovecot/certs/mail.crt 數字證書名
15 ssl_key = </etc/pki/dovecot/private/mail.key 私鑰文件名
[root@mail ~]# cp /etc/pki/tls/private/mail.key /etc/pki/dovecot/private/
[root@mail ~]# cp /root/mail.crt /etc/pki/dovecot/certs/
[root@mail ~]# systemctl restart dovecot
[root@mail ~]# vim /etc/postfix/main.cf 調整postfix發信服務
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/pki/tls/private/mail.key
smtpd_tls_cert_file = /etc/pki/tls/certs/mail.crt
[root@mail ~]# cp /root/mail.crt /etc/pki/tls/certs/
[root@mail ~]# ls /etc/pki/tls/private/
mail.key
[root@mail ~]# ls /etc/pki/tls/certs/
ca-bundle.crt mail.crt Makefile
ca-bundle.trust.crt make-dummy-cert renew-dummy-cert
[root@mail ~]# systemctl restart postfix
################################################################
三、http_ssl(https) 192.168.4.19
1 運行網站服務 並編寫網頁文件test.html
2 netstat -ntplua |grep
3 創建私鑰文件
4 創建證書請求文件
5 上傳證書請求文件給CA服務器
6 配置服務運行時調用私鑰文件 數字證書文件
CA服務器的配置:192.168.4.17 plj.ca.com
1 審覈證書請求文件 並簽發數字證書:
2 下發數字證書文件給郵件服務器
[root@www ~]# yum -y install httpd
[root@www ~]# echo "192.168.4.19 www.tarena.com" >> /etc/hosts
[root@www ~]# echo www.tarena.com > /var/www/html/test.html
[root@www ~]# systemctl restart httpd
可正常訪問www.tarena.com/test.html
[root@www ~]# cd /etc/pki/tls/private/
[root@www private]# openssl genrsa 2048 > web.key
[root@www private]# ls
web.key
[root@www private]# cat web.key
[root@www private]# openssl req -new -key web.key > /root/web.csr
[root@www private]# ls /root
web.csr
[root@www private]# cat /root/web.csr
[root@www private]# scp /root/web.csr 192.168.4.17:/root/
[root@plj certs]# pwd
/etc/pki/CA/certs
[root@plj certs]# openssl ca -in /root/web.csr > web.crt
[root@plj certs]# ls
web.crt
[root@plj certs]# cat web.crt
[root@plj certs]# scp web.crt 192.168.4.19:/tmp/
[root@www private]# yum -y install mod_ssl
[root@www private]# vim /etc/httpd/conf.d/ssl.conf
100 SSLCertificateFile /etc/pki/tls/certs/web.crt
107 SSLCertificateKeyFile /etc/pki/tls/private/web.key
[root@www private]# cp /tmp/web.crt /etc/pki/tls/certs/
https://www.tarena.com/test.html
客戶端訪問網站服務器
1 下載根證書並安裝
2 vim /etc/hosts
192.168.4.19 www.tarena.com
3 訪問網頁
80 http://www.tarena.com/test.html
443 http://www.tarena.com/test.html
4 配置網站服務器把接受到的訪問80端口請求 轉給本機的443端口
4.1 修改主配置文件 做地址重寫
vim /etc/httpd/conf/httpd.conf //最後添加7行
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
RewriteEngine on
RewriteEngine %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R]
4.2 重啓httpd服務
systemctl restart httpd
4.3 驗證,客戶端訪問
echo www.9527.com > /var/www/html/test3.html
systemctl restart httpd
訪問 http://www.tarena.com/test3.html
自動跳轉 https://www.tarena.com/test3.html