在Linux上創建SSL證書頒發機構並在Windows AD中使用它

在工作中發現一個有用的東西，在很多公司網站廣泛使用SSL，但對於我們生產系統，這意味着從廣泛認可的證書頒發機構（如Verisign或Thawte）購買SSL證書，但對於我們開發系統，當有10個15個需要SSL的不同預生產環境時，它會變得非常昂貴。所以，這是一個不花錢的潛在解決方案。在Linux上構建您自己的CA，使用Microsoft的Active Directory將證書作爲可信CA發佈。

我將在這個例子中使用Ubuntu Linux 18.04。我建議在沒有監聽服務的專用服務器上運行CA，除了openssh。我也強烈建議使用SSH密鑰連接到服務器。這是您的SSL私鑰將駐留的位置，我希望您可以進行保護。

在Linux上設置證書頒發機構

隨着新服務器的啓動和準備，讓我們進入它並開始使用。首先，如果您還沒有安裝openssl，則需要安裝。

	# Install openssl
sudo apt-get install openssl

安裝將在/ etc中創建一個ssl目錄。讓我們移動並創建SSL私鑰

cd /etc/ssl/
sudo openssl genrsa -des3 -out ca.key 4096

Generating RSA private key, 4096 bit long modulus
...............................................++
....................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

爲了解釋我們剛剛做了什麼，這裏簡要概述了該命令中的每個選項。前兩個命令是“sudo openssl”。Sudo以root權限運行openssl。命令的其餘部分是openssl的選項。他們是“genrsa -des3 -out ca.key 4096”。我們告訴openssl使用三重DES（-des3）生成一個4096位的rsa密鑰（genrsa），並將密鑰放在ca.key（-out ca.key）中。然後我們被提示輸入密鑰用於密鑰。使這是一個很好的長密碼，並保持非常安全。

好的，我們的密鑰就緒，現在讓我們創建公共CA證書。系統會多次提示您提供一些信息以添加到證書中，因此請準備好爲您的環境回答這些信息。

sudo openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:liangk
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Palletone
Organizational Unit Name (eg, section) []:Technology
Common Name (eg, YOUR name) []:ca.test.com
Email Address []:[email protected]

這個時候我們爲openssl使用了更多的參數。這次的參數是“req -new -x509 -days 3650 -key ca.key -out ca.crt”。基本上，我們要求新的x509證書，我們希望365天（1年）有效。我們想使用ca.key作爲證書的私鑰，我們將其保存在ca.crt中。一年的到期可能對您的環境來說太短暫。就個人而言，我會爲預生產系統挑選更長的東西。產品系統，您可能決定做其他事情。

您現在已準備好在您的環境中使用證書頒發機構。
將本地生成的ca.crt文件導出到windows系統桌面

將CA證書導入Windows Active Directory

在windows搜索框輸入 安全設置

在內容中找到受信任的根證書頒發機構

點擊導入，下一步，找到桌面上的ca.crt文件，下一步，點導入最後提示導入成功
點開剛剛找到的受信任的根證書頒發機構，可以找到剛剛我們導入的CA證書，點擊詳細信息可以看到我們剛剛在Linux系統下輸入的創建信息