一次加密通信和SSL通信，openssl自建CA

来源：互联网发布：网络通,浏览器打不开编辑：程序博客网时间：2024/06/13 02:00

转载：一次加密通信和SSL通信，openssl自建CA

标签：

一次会话，发邮件，用户和用户之间的数据加密

1、生成数据
2、用单向加密数据生成特征码
3、用自己的私钥加密特征码放在数据后面
4、生成临时会话密钥加密特征码和数据
5、用对方的公钥加密临时密钥

OpenSSL构建私有CA

构建私有CA

1、生成私钥

2、自签署证书

给节点发放证书

1、节点申请证书

节点生成私钥

生成证书签署请求

把请求文件发送给CA

2、CA签署证书

CA验证请求者的信息

签署证书

把签署好的证书发还给请求者

验正证书：

1、使用CA的公钥的解密证书的数字签名

2、使用同样的单向加密算法提取证书文件特征码，对比解密的结果

3、验正主体名称与请求的服务器地址是否相同

SSL的工作过程，Client和Server之间

1、Server已向CA申请过证书

2、Client和Server经过TCP的3次握手

3、Client向Server请求证书，Server发送证书给Client

4、Client通过CA公钥解密签名验证来源合法性，再用同样的单向加密计算特征码验证完整性，后验证访问的主机是否一致（证书中的common name对比）

5、协商ssl版本，加密算法，生成临时密钥进行通信

6、除非连接断开再次建立连接

CentOS 6.6 openssl自建CA

有2台虚拟机，一台CA，一台http服务器

一、建立私有CA

1、在CA上生成私钥文件在/etc/pki/CA/private

[root@localhost ~]# cd /etc/pki/CA     
[root@localhost CA]# (umask 077; openssl genrsa -out private/cakey.pem 2048)  
用()是为了在子shell中运行，不影响当前的umask  
-out为输出私钥的位置    
2048为密钥的长度

2、在CA上生成自签署证书必须在/etc/pki/CA目录下

[root@localhost CA]# openssl req -new -x509 -key ./private/cakey.pem -days 3665 -out cacert.pem    
-new 为生成新的证书，会要求用户填写相关的信息
-x509 通常用于自签署证书，生成测试证书或用于CA自签署 
-key私钥位置  
-days申请的天数（默认30天） 
-out生成位置

技术分享

以上自签时填写的相关信息可以通过/etc/pki/tls/openssl.cnf配置文件添加（以上截图已经填写过的效果），从而可以复制到其他主机生成签署请求的时候重复填写

countryName_default

stateOrProvinceName e_default

0.organizationName_default

organizationalUnitName_default

以下2个不能使用默认值

commonName

emailAddress

二、给http服务器发放证书

假设：用httpd服务，其位置为/etc/httpd/conf/certs，certs为自己创建的文件夹

1、http服务器申请证书：在http服务器上进行

生成私钥

# (umask 077; openssl genrsa -out httpd.key 1024)

生成证书签署请求/etc/httpd/conf/certs

# openssl req -new -key httpd.key -out httpd.csr -days 3665
在HTTP服务器端不需要加-x509，

2、在CA上给http服务器签署证书

需要把http那台主机的证书申请文件拷贝到CA（位置随意）

# scp REQ_HOST:/path/to/somewhere/somefile.csr /path/to    
             源端                                目的端

第1次签署在/etc/pki/CA目录下创建以下文件

# touch {index.txt,serial}
# echo "01" > serial  首次必须添加序列号否则会报错unable to load number from /etc/pki/CA/serial    error while loading serial number

CA给http服务器签署证书

# openssl ca -in httpd.csr -out http.crt

确认签署

# cat index.txt
V151128012240Z01unknown/C=CN/ST=JS/O=CJ/OU=ops/CN=www.magedu.com/emailAddress=admin.magedu.com    查看index.txt，最前面有一个大V
# cat serial    serial由01变02
02
# ll /etc/pki/CA/newcerts/  会有一个文件生成
total 8
-rw-r--r-- 1 root root 7878 Nov 28 09:23 01.pem

签署时CA的/etc/pki/CA/cacert.pem一定要存在，否则会有一下错误

[root@localhost tmp]# openssl ca -in http.csr -out http.crt
Using configuration from /etc/pki/tls/openssl.cnf
Error opening CA certificate /etc/pki/CA/cacert.pem
140176870549320:error:02001002:system library:fopen:No such file or directory:bss_file.c:39
140176870549320:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
unable to load certificate

3、查看生成的证书的信息（http.crt文件）

# openssl x509 -in /path/to/somefile.crt -noout -text|-subject|-serial
# openssl x509 -in http.crt -noout -subject
subject= /C=CN/ST=JS/O=CJ/OU=ops/CN=www.magedu.com/emailAddress=admin.magedu.com
# openssl x509 -in http.crt -noout -serial
serial=01    -subject选项信息比较多，就不贴出来了

4、生成完需要拷贝到http服务器上也用scp命令

三、吊销证书

1、第一次吊销需创建文件，生成编号，在CA端进行

touch /etc/pki/CA/crlnumber
echo "01" > /etc/pki/CA/crlnumber

如没创建/etc/pki/CA/crlnumber文件会有一下错误

[root@localhost crl]# openssl ca -gencrl -out ca.crl
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/crlnumber: No such file or directory
error while loading CRL number
140175277365064:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen(‘/etc/pki/CA/crlnumber‘,‘r‘)
140175277365064:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:

2、在CA端，吊销证书

# openssl ca -revoke /etc/pki/CA/newcerts/01.pem  吊销证书
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated

# cd /etc/pki/CA/crl/      
[root@localhost crl]# openssl ca -gencrl -out thisca.crl   更新证书吊销列表
Using configuration from /etc/pki/tls/openssl.cnf

3、查看吊销信息

# cat index.txt   由V变成了R
R151128012240Z141128021144Z01unknown/C=CN/ST=JS/O=CJ/OU=ops/CN=www.magedu.com/emailAddress=admin.magedu.com
# cat crlnumber   由01变02
02

0 0