使用openssl實現私有CA的搭建和證書的頒發

2022-10-18 14:01:16

CA的相關該概念

PKI：Public Key Infrastructure 公共金鑰加密體系
CA：Certificate Authority，證書籤發機構.實現身份的驗證的一個機構。

CA工作邏輯

A和B通訊需要將彼此的公鑰傳遞給對方，但是直接傳遞公鑰不安全。
通過將公鑰傳遞給認證機構，認證機構對公鑰進行簽名（私鑰加密，公鑰解密）並加上一些屬性資訊。
CA機構將證書製作完成後再返還給使用者。
使用者將證書傳送給需要通訊的一方，對方通過使用CA機構的公鑰來進行解密得到他的公鑰。

根CA：根CA用於管理下級CA，子CA向根CA獲取授權，使得它能給使用者頒發證書。

Cert：證書

證書：CA對使用者公鑰進行簽名後形成的一個檔案。

證書的來源：

自簽名證書
CA機構頒發的證書

CA機構頒發的證書流程：

使用者生成證書請求檔案：.csr
將證書請求檔案傳送給CA
CA進行簽名並頒發證書

CSR是英文Certificate Signing Request的縮寫,即證書籤名請求

私有CA的搭建

可以通過以下工具來搭建私有CA

OpenCA
openssl

使用openssl搭建私有CA：

openssll和私有CA搭建相關的組態檔

裡面包含了很多和證書相關的設定,後續建立對應檔案的時候需要根據組態檔中的資訊進行建立。

[root@CentOS8 tls]#  vim /etc/pki/tls/openssl.cnf
[ ca ]
default_ca      = CA_default            # 預設使用的CA

####################################################################
[ CA_default ]
dir             = /etc/pki/CA           # 存放和CA相關的檔案的目錄（CentOS7這個檔案預設存在）
certs           = $dir/certs            # 存放頒發的證書  Cert：證書
crl_dir         = $dir/crl              # 存放被吊銷的證書
database        = $dir/index.txt        # 存放ca的索引（需要人為建立）
new_certs_dir   = $dir/newcerts         # 存放新證書的位置
certificate     = $dir/cacert.pem       # ca的自簽名證書
serial          = $dir/serial           # 證書的編號（第一次需要人為建立並編號，後面會自動遞增） serial：連續的
crlnumber       = $dir/crlnumber        # 證書吊銷列表的編號
crl             = $dir/crl.pem          # 證書吊銷列表的檔案
private_key     = $dir/private/cakey.pem# CA的私鑰
x509_extensions = usr_cert              # The extensions to add to the cert
name_opt        = ca_default            # Subject Name options
cert_opt        = ca_default            # Certificate field options

policy          = policy_match  #指定使用的匹配策略

# For the CA policy
[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

三種策略：match匹配、optional可選、supplied提供

match：要求申請填寫的資訊跟CA設定資訊必須一致(前三項)
optional：可有可無，跟CA設定資訊可不一致
supplied：必須填寫這項申請資訊

範例:CentOS8搭建私有CA

流程：

1.建立對應的檔案和目錄（建立的檔案和目錄需要和組態檔裡面的資訊對應）

2.生成CA自己的私鑰

3.利用CA的私鑰生成自簽名證書

1. 建立對應的檔案和目錄

[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
mkdir: created directory '/etc/pki/CA/certs' #存放頒發的證書檔案
mkdir: created directory '/etc/pki/CA/crl'  #存放吊銷的證書檔案
mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的證書檔案
mkdir: created directory '/etc/pki/CA/private'  #存放CA自己的私鑰

#證書的資料庫檔案：存放證書的頒發等資訊，不需要人工維護裡面的內容，只需要建立對應的檔案就行了，會自動往裡面寫入資料的
[root@centos8 ~]# touch /etc/pki/CA/index.txt

#頒發證書的序號（十六進位制）：第一個證書頒發的時候使用的就是這個編號，後續會自動遞增
[root@centos8 ~]# echo 01 > /etc/pki/CA/serial

2. 生成CA自己的私鑰

[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................+++++
........................................................................+++++
e is 65537 (0x010001)

3.頒發自簽名證書

[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SC
Locality Name (eg, city) [Default City]:CD
Organization Name (eg, company) [Default Company Ltd]:SX
Organizational Unit Name (eg, section) []:LL
Common Name (eg, your name or your server's hostname) []:tom
Email Address []:111

選項:
-new：建立一個新的證書，生成新證書籤署請求

-x509：表示證書的格式，專用於CA生成自簽證書

-key：生成請求時用到的私鑰檔案

-days n：證書的有效期限

-out /PATH/TO/SOMECERTFILE: 證書的儲存路徑

檢視自簽名證書的方法

檢視自簽名證書的資訊
[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

-in:指定輸入的檔案

-noout：不輸出為檔案

-text：以文字方式來進行顯示

說明：
頒發自簽名證書的時候會要求輸入需要輸入國家、身份、組織等資訊。

使用者向私有CA申請證書的流程

1.生成私鑰檔案

2.通過私鑰檔案生成證書申請檔案，若是match這種策略。填寫的國家省組織必須一致

3.CA頒發證書

4.檢視證書

1.生成私鑰檔案

私鑰一般使用key作為字尾要標識

[root@CentOS8 CA]# mkdir /data/app1

[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
...............................................................................................+++++
e is 65537 (0x010001)

2.通過私鑰檔案生成證書申請檔案

證書申請檔案的字尾一般都是以csr為字尾作為標識

[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  #國家
State or Province Name (full name) []:CN #省份
Locality Name (eg, city) [Default City]:CN #組織
Organization Name (eg, company) [Default Company Ltd]:CN
Organizational Unit Name (eg, section) []:CN
Common Name (eg, your name or your server's hostname) []:CN
Email Address []:CN

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

說明：

採用match這種策略,預設有三項內容必須和CA一致：國家，省份，組織，如果不同，會出現下面的提示

如果採用的是option這種策略的話就不用保持一致都可以

3. CA 頒發證書

ca需要使用使用者的證書申請檔案才能頒發證書,利用證書申請檔案裡面的使用者私鑰來實現數位簽章。

[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr  -out /etc/pki/CA/certs/app1.crt -days 1000
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 15 (0xf)
        Validity
            Not Before: Oct 14 06:53:07 2022 GMT
            Not After : Jul 10 06:53:07 2025 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = CN
            organizationName          = CN
            organizationalUnitName    = CN
            commonName                = CN
            emailAddress              = CN
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A
            X509v3 Authority Key Identifier: 
                keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A

Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

[root@CentOS8 CA]# tree
.
├── cacert.pem
├── certs
│   └── app1.crt #給使用者生成的生成的證書檔案
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old  #前一個檔案的備份
├── newcerts
│   └── 0F.pem #和app1.crt是同一個東西，自動生成的一個備份檔案
├── private
│   └── cakey.pem
├── serial
└── serial.old

4 directories, 9 files

#serial：存放的是下一個證書的證書編號

檢視證書的有效性

[root@CentOS8 CA]# openssl ca -status 0F  #0F就是這個證書的標號
Using configuration from /etc/pki/tls/openssl.cnf
0F=Valid (V)

V：標識生效的   R：標識無效的證書

檢視證書的資訊

openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text

例如

[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer
issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN

證書檔案字尾

字尾規定：
.crt #證書檔案的標識

.csr #證書申請檔案的標識  證書申請完成後，這個證書申請檔案就沒啥用了

.key #私鑰的標識  .pem也是私鑰的標識，但是windows不是別pem結尾的檔案

一個證書申請檔案只能申請一次證書。

實現一個申請檔案申請多個證書的方法；

root@CentOS8 CA]# pwd
/etc/pki/CA
[root@CentOS8 CA]# cat index.txt.attr 
unique_subject = yes


unique_subject = yes  #把yes變為no就可以了

證書的吊銷

openssl ca -revoke /PATH/FILE

例如：

[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 0F.
Data Base Updated

[root@CentOS8 CA]# openssl ca -status 0F 
Using configuration from /etc/pki/tls/openssl.cnf
0F=Revoked (R)

[root@CentOS8 CA]# cat /etc/pki/CA/index.txt
R	250710065307Z	221014072459Z	0F	unknown	/C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN

生成證書吊銷列表檔案

公開被吊銷的檔案。其他使用者可以獲取已經吊銷了的證書檔案列表

#需要建立一個clinumer檔案才可以  吊銷證書也需要一個吊銷證書的number 類似於index.txt

#這個檔案預設不存在，需要手動建立出來

echo 01 > /etc/pki/CA/crlnumber

openssl ca -gencrl -out /etc/pki/CA/crl.pem   #證書吊銷檔案的路徑是約定好的

到此這篇關於使用openssl實現私有CA的搭建和證書的頒發的文章就介紹到這了,更多相關openssl私有CA的搭建頒發內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！