文章目录
一、CA机构分级管理
数字签名的重要性:
数字证书就是互联网通讯中标志通讯各方身份信息,数字证书不是通信双方的身份证书,而是认证机构在数字证书上扣得一个章,确认你的身份证书有效,它是由权威的CA机构颁发用于表示互联网上通信双方的身份。个人搭建的自由CA服务器在互联网中是不被认可的,但是可以在企业自己的内部网络中使用。
验证过程:
首先在根CA进行签署自证证书,然后子CA向根CA申请证书,根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者,相对于web服务器申请者是签署者,所以子CA是两个身份,既是申请者又是签署者
CA通讯过程:
二、OpenSSL
确认OpenSSL软件包是否安装
(一)生成随机数:
格式:openssl rand -base64|-hex NUM
NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2
示例1:[root@CentOS7 data]#openssl rand -hex 12
生成的是16进制数,2位16进制数是1个字节,12个字节就是12*2=24位16进制数
示例2: base64:[root@CentOS7 data]#openssl rand -base64 12
base64转换为64个常见字符:
(二)ASCII编码与Base64编码转换:
转换方法:ASCII表对应字母10进制转二进制,高位起每6位做分隔,不够6位用0补齐(补齐的用=表示);转为对应base64编码表
Base64 编码表:
示例1:
man ASCII
Oct Dec Hex Char
141 97 61 a
142 98 62 b
a十进制:97 对应二进制:01100001
b十进制:98 对应二进制:01100010
ab组合的二进制:0110000101100010
base64:(0-63)用6位二进制可表示64位数,因此对ab的二进制高位起每6位做分隔,不够6位用0补齐(补齐的用=表示):二进制位是6和8的公倍数才不会出现等号,6和8最小公倍数是24
011000 010110 001000 #二进制
24 22 8 # 32 16 8 4 2 1
Y W I= #后面补了0 ,用=表示
示例2:[root@CentOS7 data]#openssl rand -base64 3
3个字节是24位,所以3的倍数个字节不带等号,即6和8最小公倍数的倍数也可整除6和8
(三)随机数生成器:
键盘和鼠标,块设备中断
/dev/random:仅从熵池返回随机数;随机数用尽,阻塞
/dev/urandom:从熵池返回随机数;随机数用尽,会利用软件生成伪随机数,非阻塞
加密:
生成私钥:
[root@CentOS7 data]#(umask 077;openssl genrsa -out /data/192.168.37.100.key)
对生成私钥加密:
[root@CentOS7 data]#(umask 077;openssl genrsa -out /data/192.168.37.100.key -des 1024)
对加密密钥解密
[root@CentOS7 data]#openssl rsa -in 192.168.37.100.key -out 192.168.37.100-2.key
不加密密钥:
生成加密密钥:
解密加密的密钥:
生成公钥:(由私钥推出)
openssl rsa -in 192.168.37.100-2.key -pubout -out 192.168.37.100.key.pub
三、搭建私有CA
(一)证书申请及签署步骤:
1、生成申请请求
2、RA核验
3、CA签署
4、获取证书
openssl的配置文件:/etc/pki/tls/openssl.cnf
三种策略:match匹配、optional可选、supplied提供
match:要求申请填写的信息跟CA设置信息必须一致
optional:可有可无,跟CA设置信息可不一致
supplied:必须填写这项申请信息
####################################################################
[ ca ]
default_ca = CA_default # The default ca section 机器可搭建多个CA;默认CA
####################################################################
[ CA_default ]
dir = /etc/pki/CA # Where everything is kept CA信息目录
certs = $dir/certs # Where the issued certs are kept 颁发的证书位置
crl_dir = $dir/crl # Where the issued crl are kept 证书吊销列表所在位置
database = $dir/index.txt # database index file. 已经颁发的证书及状态数据库位置
#unique_subject = no # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs. 新颁发证书的位置
certificate = $dir/cacert.pem # The CA certificate CA的自己证书的位置
serial = $dir/serial # The current serial number 下一个颁发者的证书编号位置
crlnumber = $dir/crlnumber # the current crl number 吊销列表编号位置
# must be commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL 被吊销列表文件
private_key = $dir/private/cakey.pem # The private key 存放CA的私钥位置
RANDFILE = $dir/private/.rand # private random number file 私钥用到的随机数
x509_extensions = usr_cert # The extentions to add to the cert
default_days = 365 # how long to certify for 默认证书有效期
default_crl_days= 30 # how long before next CRL 默认吊销证书
default_md = sha256 # use SHA-256 by default
preserve = no # keep passed DN ordering
(二)搭建CA
1.生成私钥
[root@CentOS7 ~]#(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
2.生成自签名证书
(命令中带x509j是自签名证书,不带的是申请证书;-key 指定私钥文件;-days指定CA有效期;一般公司是一年)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 <<EOF
CN
beijing
beijing
Dell
devops
ca.Dell.com
[email protected]
EOF
填写的内容如下:可通过多行重定向方式填写
Country Name (2 letter code) [XX]:CN #国家
State or Province Name (full name) []:Beijing 省
Locality Name (eg, city) [Default City]:Beijing 市
Organization Name (eg, company) [Default Company Ltd]:Dell #公司名称
Organizational Unit Name (eg, section) []:Devops #部门
Common Name (eg, your name or your server's hostname) []:ca.dell.com #域名
Email Address []:mail.dell.com #企业邮箱地址
查看证书内容:
[root@CentOS7 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
Issuer: 颁发者
Validity:有效期
Subject:颁发给
3.创建数据库以及新颁发证书数字
[root@CentOS7 ~]#touch /etc/pki/CA/index.txt
[root@CentOS7 ~]#touch /etc/pki/CA/serial
4.设置证书起始编号
编号必须是整数位:
[root@CentOS7 ~]#echo 0F > /etc/pki/CA/serial
注: 无此两个文件,直接颁发证书时可能会出现如下报错:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9b:4c:11:78:5f:08:37:a6
Signature Algorithm: sha256WithRSAEncryption
颁发者: Issuer: C=CN, ST=Beijing, L=Beijing, O=Dell, OU=Devops, CN=ca.dell.com/emailAddress=mail.dell.com
有效期 Validity
Not Before: Jun 22 05:56:38 2019 GMT
Not After : Jun 19 05:56:38 2029 GMT
颁发给: Subject: C=CN, ST=Beijing, L=Beijing, O=Dell, OU=Devops, CN=ca.dell.com/emailAddress=mail.dell.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:a9:a5:45:d9:29:d1:56:af:7c:13:e7:ba:ce:58:
c2:31:85:f2:d0:34:c9:39:26:6f:36:c1:da:3d:da:
60:31:34:50:99:fc:fc:69:4d:7e:cc:5e:0d:8d:0b:
5d:f2:ff:8f:67:34:70:fe:e8:d2:f1:f6:02:24:41:
(三) 申请证书:企业服务
申请的证书放在具体服务的配置文件路径中;申请时间由颁发者规定的
1.生成私钥文件:
[root@CentOS6 httpd]#(umask 066;openssl genrsa -out /data/httpd/httpd.key 2048)
2.生成证书申请文件
[root@CentOS6 httpd]#openssl req -new -key httpd.key -out httpd.csr
3.将申请文件发送给CA机构
[root@CentOS6 data]#openssl req -new -key httpd.key -out httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:Dell
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:ca.tmall.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
(四)颁发证书:CA
颁发证书,默认生效日期为365天,证书后缀为crt、pem都可以
1.生成证书文件
openssl ca -in /data/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 100
2.将证书文件发送给申请公司
(五)使用证书:企业服务
申请者上传至颁发的证书至具体服务目录下
windows主机:使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构
(六)吊销证书:CA
[root@CentOS7 ~]#openssl ca -revoke /etc/pki/CA/newcerts/0F.pem #吊销证书
[root@CentOS7 ~]#openssl ca -status 0F #查看证书状态
[root@CentOS7 ~]#echo FF > /etc/pki/CA/crlnumber #定义吊销列表起始编号
[root@CentOS7 ~]#openssl ca -gencrl -out /etc/pki/CA/crl.pem #更新吊销列表
[root@CentOS7 ~]#openssl crl -in /etc/pki/CA/crl.pem -noout -text #查看crl.pem 文件
