網(wǎng)站首頁 編程語言 正文
CA的相關(guān)該概念
- PKI:Public Key Infrastructure 公共密鑰加密體系
- CA:Certificate Authority,證書簽發(fā)機構(gòu).實現(xiàn)身份的驗證的一個機構(gòu)。
CA工作邏輯
- A和B通信需要將彼此的公鑰傳遞給對方,但是直接傳遞公鑰不安全。
- 通過將公鑰傳遞給認證機構(gòu),認證機構(gòu)對公鑰進行簽名(私鑰加密,公鑰解密)并加上一些屬性信息。
- CA機構(gòu)將證書制作完成后再返還給用戶。
- 用戶將證書發(fā)送給需要通信的一方,對方通過使用CA機構(gòu)的公鑰來進行解密得到他的公鑰。
根CA:根CA用于管理下級CA,子CA向根CA獲取授權(quán),使得它能給用戶頒發(fā)證書。
Cert:證書
證書:CA對用戶公鑰進行簽名后形成的一個文件。
證書的來源:
- 自簽名證書
- CA機構(gòu)頒發(fā)的證書
CA機構(gòu)頒發(fā)的證書流程:
- 用戶生成證書請求文件:.csr
- 將證書請求文件發(fā)送給CA
- CA進行簽名并頒發(fā)證書
CSR是英文Certificate Signing Request的縮寫,即證書簽名請求
私有CA的搭建
可以通過以下工具來搭建私有CA
- OpenCA
- openssl
使用openssl搭建私有CA:
openssll和私有CA搭建相關(guān)的配置文件
里面包含了很多和證書相關(guān)的設(shè)置,后續(xù)創(chuàng)建對應(yīng)文件的時候需要根據(jù)配置文件中的信息進行創(chuàng)建。
[root@CentOS8 tls]# vim /etc/pki/tls/openssl.cnf
[ ca ]
default_ca = CA_default # 默認使用的CA
####################################################################
[ CA_default ]
dir = /etc/pki/CA # 存放和CA相關(guān)的文件的目錄(CentOS7這個文件默認存在)
certs = $dir/certs # 存放頒發(fā)的證書 Cert:證書
crl_dir = $dir/crl # 存放被吊銷的證書
database = $dir/index.txt # 存放ca的索引(需要人為創(chuàng)建)
new_certs_dir = $dir/newcerts # 存放新證書的位置
certificate = $dir/cacert.pem # ca的自簽名證書
serial = $dir/serial # 證書的編號(第一次需要人為創(chuàng)建并編號,后面會自動遞增) serial:連續(xù)的
crlnumber = $dir/crlnumber # 證書吊銷列表的編號
crl = $dir/crl.pem # 證書吊銷列表的文件
private_key = $dir/private/cakey.pem# CA的私鑰
x509_extensions = usr_cert # The extensions to add to the cert
name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options
policy = policy_match #指定使用的匹配策略
# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
三種策略:match匹配、optional可選、supplied提供
- match:要求申請?zhí)顚懙男畔⒏鶦A設(shè)置信息必須一致(前三項)
- optional:可有可無,跟CA設(shè)置信息可不一致
- supplied:必須填寫這項申請信息
范例:CentOS8搭建私有CA
流程:
1.創(chuàng)建對應(yīng)的文件和目錄(創(chuàng)建的文件和目錄需要和配置文件里面的信息對應(yīng))
2.生成CA自己的私鑰
3.利用CA的私鑰生成自簽名證書
1. 創(chuàng)建對應(yīng)的文件和目錄
[root@CentOS8 CA]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
mkdir: created directory '/etc/pki/CA/certs' #存放頒發(fā)的證書文件
mkdir: created directory '/etc/pki/CA/crl' #存放吊銷的證書文件
mkdir: created directory '/etc/pki/CA/newcerts' #存放新生成的證書文件
mkdir: created directory '/etc/pki/CA/private' #存放CA自己的私鑰
#證書的數(shù)據(jù)庫文件:存放證書的頒發(fā)等信息,不需要人工維護里面的內(nèi)容,只需要創(chuàng)建對應(yīng)的文件就行了,會自動往里面寫入數(shù)據(jù)的
[root@centos8 ~]# touch /etc/pki/CA/index.txt
#頒發(fā)證書的序號(十六進制):第一個證書頒發(fā)的時候使用的就是這個編號,后續(xù)會自動遞增
[root@centos8 ~]# echo 01 > /etc/pki/CA/serial
2. 生成CA自己的私鑰
[root@CentOS8 CA]# openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................+++++
........................................................................+++++
e is 65537 (0x010001)3.頒發(fā)自簽名證書
[root@CentOS8 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SC
Locality Name (eg, city) [Default City]:CD
Organization Name (eg, company) [Default Company Ltd]:SX
Organizational Unit Name (eg, section) []:LL
Common Name (eg, your name or your server's hostname) []:tom
Email Address []:111
選項:
-new:創(chuàng)建一個新的證書,生成新證書簽署請求
-x509:表示證書的格式,專用于CA生成自簽證書
-key:生成請求時用到的私鑰文件
-days n:證書的有效期限
-out /PATH/TO/SOMECERTFILE: 證書的保存路徑查看自簽名證書的方法
查看自簽名證書的信息
[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
-in:指定輸入的文件
-noout:不輸出為文件
-text:以文本方式來進行顯示說明:
頒發(fā)自簽名證書的時候會要求輸入需要輸入國家、身份、組織等信息。
用戶向私有CA申請證書的流程
1.生成私鑰文件
2.通過私鑰文件生成證書申請文件,若是match這種策略。填寫的 國家 省 組織必須一致
3.CA頒發(fā)證書
4.查看證書
1.生成私鑰文件
私鑰一般使用key作為后綴要標(biāo)識
[root@CentOS8 CA]# mkdir /data/app1
[root@CentOS8 app1]# openssl genrsa -out /data/app1/app1.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
...............................................................................................+++++
e is 65537 (0x010001)2.通過私鑰文件生成證書申請文件
證書申請文件的后綴一般都是以csr為后綴作為標(biāo)識
[root@CentOS8 app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN #國家
State or Province Name (full name) []:CN #省份
Locality Name (eg, city) [Default City]:CN #組織
Organization Name (eg, company) [Default Company Ltd]:CN
Organizational Unit Name (eg, section) []:CN
Common Name (eg, your name or your server's hostname) []:CN
Email Address []:CN
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:說明:
采用match這種策略,默認有三項內(nèi)容必須和CA一致:國家,省份,組織,如果不同,會出現(xiàn)下面的提示
如果采用的是option這種策略的話就不用保持一致都可以
3. CA 頒發(fā)證書
ca需要使用用戶的證書申請文件才能頒發(fā)證書,利用證書申請文件里面的用戶私鑰來實現(xiàn)數(shù)字簽名。
[root@CentOS8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 15 (0xf)
Validity
Not Before: Oct 14 06:53:07 2022 GMT
Not After : Jul 10 06:53:07 2025 GMT
Subject:
countryName = CN
stateOrProvinceName = CN
organizationName = CN
organizationalUnitName = CN
commonName = CN
emailAddress = CN
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
12:C5:3F:8E:86:E4:E8:3C:06:B1:01:79:90:EA:B6:66:32:53:3E:6A
X509v3 Authority Key Identifier:
keyid:10:59:CD:C9:34:58:5E:30:67:43:0A:3E:DD:7C:63:2B:9C:60:50:3A
Certificate is to be certified until Jul 10 06:53:07 2025 GMT (1000 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated[root@CentOS8 CA]# tree
.
├── cacert.pem
├── certs
│ └── app1.crt #給用戶生成的生成的證書文件
├── crl
├── index.txt
├── index.txt.attr
├── index.txt.old #前一個文件的備份
├── newcerts
│ └── 0F.pem #和app1.crt是同一個東西,自動生成的一個備份文件
├── private
│ └── cakey.pem
├── serial
└── serial.old
4 directories, 9 files
#serial:存放的是下一個證書的證書編號查看證書的有效性
[root@CentOS8 CA]# openssl ca -status 0F #0F就是這個證書的標(biāo)號
Using configuration from /etc/pki/tls/openssl.cnf
0F=Valid (V)
V:標(biāo)識生效的 R:標(biāo)識無效的證書查看證書的信息
openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -text例如
[root@CentOS8 CA]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer
issuer=C = CN, ST = CN, L = CN, O = CN, OU = CN, CN = CN, emailAddress = CN
證書文件后綴
后綴規(guī)定:
.crt #證書文件的標(biāo)識
.csr #證書申請文件的標(biāo)識 證書申請完成后,這個證書申請文件就沒啥用了
.key #私鑰的標(biāo)識 .pem也是私鑰的標(biāo)識,但是windows不是別pem結(jié)尾的文件一個證書申請文件只能申請一次證書。
實現(xiàn)一個申請文件申請多個證書的方法;
root@CentOS8 CA]# pwd
/etc/pki/CA
[root@CentOS8 CA]# cat index.txt.attr
unique_subject = yes
unique_subject = yes #把yes變?yōu)閚o就可以了證書的吊銷
openssl ca -revoke /PATH/FILE
例如:
[root@CentOS8 CA]# openssl ca -revoke certs/app1.crt
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 0F.
Data Base Updated
[root@CentOS8 CA]# openssl ca -status 0F
Using configuration from /etc/pki/tls/openssl.cnf
0F=Revoked (R)
[root@CentOS8 CA]# cat /etc/pki/CA/index.txt
R 250710065307Z 221014072459Z 0F unknown /C=CN/ST=CN/O=CN/OU=CN/CN=CN/emailAddress=CN
生成證書吊銷列表文件
公開被吊銷的文件。其他用戶可以獲取已經(jīng)吊銷了的證書文件列表
#需要創(chuàng)建一個clinumer文件才可以 吊銷證書也需要一個吊銷證書的number 類似于index.txt
#這個文件默認不存在,需要手動創(chuàng)建出來
echo 01 > /etc/pki/CA/crlnumber
openssl ca -gencrl -out /etc/pki/CA/crl.pem #證書吊銷文件的路徑是約定好的原文鏈接:https://www.cnblogs.com/heyongshen/p/16790924.html
相關(guān)推薦
- 2022-09-14 利用Pandas實現(xiàn)對數(shù)據(jù)進行移動計算_python
- 2022-08-15 初步了解MyBatis的相關(guān)配置
- 2023-03-22 Python裝飾器使用方法全面梳理_python
- 2022-09-09 python?獲取星期字符串的實例_python
- 2022-08-13 Linux操作系統(tǒng)引導(dǎo)過程及服務(wù)控制
- 2022-06-11 MSSQL基本語法及實例操作語句_MsSql
- 2022-11-06 python?基本結(jié)構(gòu)語句(函數(shù)和模塊)_python
- 2022-09-14 python單鏈路性能測試實踐_python
- 最近更新
-
- window11 系統(tǒng)安裝 yarn
- 超詳細win安裝深度學(xué)習(xí)環(huán)境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎(chǔ)操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區(qū)別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權(quán)
- redisson分布式鎖中waittime的設(shè)
- maven:解決release錯誤:Artif
- restTemplate使用總結(jié)
- Spring Security之安全異常處理
- MybatisPlus優(yōu)雅實現(xiàn)加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務(wù)發(fā)現(xiàn)-Nac
- Spring Security之基于HttpR
- Redis 底層數(shù)據(jù)結(jié)構(gòu)-簡單動態(tài)字符串(SD
- arthas操作spring被代理目標(biāo)對象命令
- Spring中的單例模式應(yīng)用詳解
- 聊聊消息隊列,發(fā)送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速