自建CA证书

kk起个名吧
226 阅读7分钟

一、 CA证书

1. 概述

CA(Certificate Authority,证书授权)是由认证机构服务者签发,是数字签名的技术基础保障,也是网上实体身份的证明,能够证明某一实体的身份及其公钥的合法性,证明该实体与公钥二者之间的匹配关系。

  • PKI:Public Key Infrastructure 公共密钥加密体系
  • 签证机构:CA(Certificate Authority)
  • 注册机构:RA
  • 证书吊销列表:CRL
  • 证书协议:X.509

如何获取证书?

  • 在阿里云、华为云、腾讯云等云服务商那里申请一年有效期的免费证书或者购买证书
  • 在本地使用 openssl、mkcert、cfssl、certbot(Let's Encrypt)的工具生成本地私钥证书

2. 安全协议SSL/TLS

SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。

为什么要使用 SSL 证书?

HTTP协议无法加密数据,数据传输可能产生泄露、篡改或钓鱼攻击等问题,而启用HTTPS后,可帮助Web服务器和网站间建立可信的HTTPS协议加密链接,为网站安全加锁,保证数据安全传输。

3. https

HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL 或 HTTP over TLS ,对http协议的文本数据进行加密处理后,成为二进制形式传输

HTTPS工作的简化过程

  1. 客户端发起HTTPS请求
    用户在浏览器里输入一个https网址,然后连接到服务器的443端口

  2. 服务端的配置
    采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥

  3. 传送服务器的证书给客户端
    证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等

  4. 客户端解析验证服务器证书
    这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密

  5. 客户端将加密信息传送服务器
    这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了

  6. 服务端解密信息
    服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值

  7. 服务器加密信息并发送信息
    服务器将数据利用随机值进行对称加密,再发送给客户端

  8. 客户端接收并解密信息
    客户端用之前生成的随机值解密服务端传过来的数据,于是获取了解密后的内容

二、 openssl

1. openssl 介绍

在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

心脏流血漏洞:OpenSSL 1.0.1版本(不含1.0.1g)含有一个严重漏洞,可允许攻击者读取服务器的内存信息。该漏洞于2014年4月被公诸于世,影响三分之二的活跃网站。

包括三个组件:

  • libcrypto:用于实现加密和解密的库
  • libssl:用于实现ssl通信协议的安全库
  • openssl:多用途命令行工具

2. openssl 命令

  • 查看版本
[root@node7 ~]# openssl version  
OpenSSL 1.0.2k-fips  26 Jan 2017
  • 生成加密密码 openssl passwd --help
Ubuntu上加密:
openssl passwd -6 123
useradd  -p `openssl passwd -6 123` cxk  //新建用户
getent shadow cxk   //查看密码
  • 生成随机密码 openssl rand --help
[root@node7 ~]# openssl  rand -base64 9
vUGS1rVskD/O
//openssl: 这是命令行工具的名称,用于执行各种加密和解密操作。
//rand: 这是 openssl 工具的一个子命令,用于生成随机数。
//-base64: 这是 rand 子命令的一个选项,指定生成的随机数以 Base64 编码格式输出。Base64 是一种编码方法,可以将二进制数据转换成64个字符的文本形。
//9: 这是 rand 子命令的一个参数,表示生成的随机数的字节长度。

[root@node7 ~]# openssl  rand -base64 6
W7T5O9Ra
[root@node7 ~]# openssl  rand -base64 3
Mvsk
[root@node7 ~]# openssl  rand -base64 4
IcrMOA==
//-base64 后面跟的必须是3的倍数,否则会出现等号

[root@node7 ~]# openssl  rand -base64 9 |head -c 10  //生成随机10位长度密码
zWH9dIGCSU

3. 自建CA

openssl的配置文件:/etc/pki/tls/openssl.cnf

三种策略:match匹配、optional可选、supplied提供

  • match:要求申请填写的信息跟CA设置信息必须一致
  • optional:可有可无,跟CA设置信息可不一致
  • supplied:必须填写这项申请信息

1. 创建CA所需要的文件及文件夹

[root@node7 ~]# touch /etc/pki/CA/index.txt
//生成证书索引数据库文件
[root@node7 ~]# echo 01 > /etc/pki/CA/serial
//指定下一个颁发证书的序列号,必须是01,有格式要求

2. 生成CA私钥

[root@node7 ~]# cd /etc/pki/CA/
[root@node7 CA]# (umask 066; openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...+++
.+++
e is 65537 (0x10001)
[root@node7 CA]# ll private/
总用量 4
-rw-------. 1 root root 1679 812 15:07 cakey.pem

3. 生成CA自签名证书

[root@node7 CA]# openssl req -new -x509 -key   /etc/pki/CA/private/cakey.pem  -days 3650 -out /etc/pki/CA/cacert.pem
//-new:生成新证书签署请求
//-x509:专用于CA生成自签证书  协议x509
//-key:生成请求时用到的私钥文件
//-days n:证书的有效期限
//-out /PATH/TO/SOMECERTFILE: 证书的保存路径
CA1.png

把cacert.pem移至桌面,重命名为crt结尾的文件,即cacert.pem.crt CA2.png CA3.png

  • 非交互式建立 自签名证书
openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.kgc.org" -keyout app.key -nodes -x509 -days 3650 -out app.crt
//这个命令用于使用 OpenSSL 创建一个自签名的 SSL 证书。具体来说,它会生成一个 RSA 密钥和对应的 X.509 证书。

req: 生成一个证书签名请求(CSR)或自签名证书。
-utf8: 使用 UTF-8 编码。
-newkey rsa:1024: 生成一个新的 RSA 密钥对,密钥长度为 1024 位。
-subj "/CN=www.kgc.org": 指定证书的主题信息,这里只设置了 CNCommon Name),即证书的通用名称为 www.kgc.org。
-keyout app.key: 将生成的私钥保存为 app.key 文件。
-nodes: 不加密生成的私钥文件(即不需要输入密码来保护密钥)。
-x509: 直接生成一个自签名的 X.509 证书,而不是生成证书请求(CSR)。
-days 3650: 指定证书的有效期为 3650 天(约 10 年)。
-out app.crt: 将生成的证书保存为 app.crt 文件。

执行该命令后,会在当前目录下生成两个文件:
app.key: 私钥文件
app.crt: 自签名的 SSL 证书
这些文件可以用于配置 HTTPS 服务器,比如 NginxApache

4. 用户申请证书

  • 生成私钥 (一般以key结尾) 私钥
  • 利用生成的私钥 生成 证书申请文件(一般csr文件) csr
  • 生成证书文件(一般以crt结尾) crt
`建立私钥`
[root@node7 ~]# mkdir  /data/app1
[root@node7 ~]# openssl  genrsa -out  /data/app1/app1.key 2048
Generating RSA private key, 2048 bit long modulus
........................................................................................................................................................................................+++
..................+++
e is 65537 (0x10001)
[root@node7 ~]# chmod 600 /data/app1/app1.key

`生成证书申请文件`
[root@node7 ~]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

`颁发证书`
[root@node7 ~]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt   -days 1000
[root@node7 ~]# ls /etc/pki/CA/certs
app1.crt
avatar
文章
阅读
粉丝