CA認證和頒發吊銷證書

摘要：涉及到網絡安全這一塊，想必大家都聽過CA吧。像百度、淘寶、京東等這些知名網站，每年都要花費一筆money來買CA證書。但其實簡單的企業內的CA認證，我們自己就可以實現，今天小編我就講解一下怎么在企業局部實現CA認證。

一、CA介紹

1、電子商務認證授權機構（CA, Certificate Authority），也稱為電子商務認證中心，是負責發放和管理數字證書的權威機構，並作為電子商務交易中受信任的第三方，承擔公鑰體系中鑰的合法性檢驗的責任。

2、PKI: Public Key Infrastructure

　　簽證機構：CA （Certificate Authority） 

　　注冊機構：RA

　　證書吊銷列表：CRL

3、獲取證書兩種方法：

• 使用證書授權機構

　　生成簽名請求（csr）

　　將csr 發送給CA

　　從CA 處接收簽名

• 自簽名的證書

　　自已簽發自己

4、實例：打開百度，按F12，可以查看百度的CA證書

 

二、創建私有CA和申請證書及簡單步驟說明

1、原理介紹：

我們以A端為CA機構，B端是申請證書的公司

2、A端自簽證書，自簽證書之前我們要，了解查看配置文件的說明 vim /etc/pki/tls/openssl.cnf，會告訴我們怎么自簽證書，要求我們創建的東西放在哪些目錄下。

 [ CA_default ]

dir             　　 　= /etc/pki/CA　　　　 # Where everything is kept   總目錄，把總目錄付給變量，下邊都用變量表示

certs          　　　= $dir/certs 　　   　　# Where the issued certs are kept  發布的證書，若干證書

crl_dir         　　   = $dir/crl 　　　   　　# Where the issued crl are kept      證書吊銷列表

database        　  = $dir/index.txt     　　 # database index file.             文本文件，數據庫，存放證書編號，簡單的索引

#unique_subject  = no 　　　　　 　　  # Set to 'no' to allow creation of    是否允許多個證書用相同的subject（頒發給誰）

              　　　　　　　　　　　　　　# several ctificates with same subject.

new_certs_dir 　 = $dir/newcerts 　　　# default place for new certs.  新頒發的證書放的地方

  

certificate 　　    = $dir/cacert.pem  　  # The CA certificate   證書文件，第一個是自簽名證書

serial　　　　    = $dir/serial 　　  　　# The current serial number   下一個要頒發證書的編號

crlnumber　　    = $dir/crlnumber         # the current crl number   吊銷列表的編號

                　　　　　　　　　　　　　 # must be commented out to leave a V1 CRL

crl              　　  = $dir/crl.pem 　　     # The current CRL          吊銷列表存放的文件

private_key         = $dir/private/cakey.pem # The private key   私鑰放的地方

RANDFILE         = $dir/private/.rand     # private random number file   隨機數

3、申請證書時，要填寫的必要信息

 [ policy_match ]   注意：match必須匹配，客戶端申請證書和CA頒發填寫的信息必須相同

countryName     　　　　= match國家

stateOrProvinceName 　= match省、州

organizationName 　　  = match組織、公司名

organizationalUnitName = optional 部門

commonName 　　　　 = supplied 給哪個域名頒發

emailAddress 　　　　  = optional[ policy_anything ] 郵件地址

  

3、B端證書申請及簽署步驟：

① 生成申請請求

② RA 核驗

③ CA 簽署

④ 獲取證書

 

三、A端創建私有CA

1、創建所需要的文件（如果不創建，后邊操作會出錯）

touch /etc/pki/CA/index.txt 生成證書索引數據庫文件

echo 99 > /etc/pki/CA/serial 指定第一個頒發證書的序列號，一般都是從01開始，也可以不從01開始，但一定要是2位或4位數，我們就以99為例

2、CA 自簽證書

① 生成私鑰

cd /etc/pki/CA/

(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem [-des3] 2048)

可以加密，也可以不加密，加過密，后邊每次都要輸入，為了試驗方便就不加密了，但加密更安全

tree /etc/pki/CA/ 可以看到cakey.pem 生成了

② 生成自簽名證書

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem （req申請、-x509自簽名、cacert.pem）

　　req：請求申請證書

　　-new: 生成新證書簽署請求

　　-x509: 專用於CA 生成自簽證書

　　-key: 生成請求時用到的私鑰文件

　　-days n ：證書的有效期限

　　-out / PATH/TO/SOMECERTFILE : 生成私鑰證書的保存路徑

③ 查看

cat /etc/pki/CA/cacert.pem 生成的證書文件，直接cat不能看到信息，用下邊的命令

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text   （-text：生成的證書）

④ 也可以傳到windows上查看，要改后綴，可以為cer/crt，不然不識別，sz發到windows上

 

四、B客戶端申請證書

1、centos 6 生成私鑰

(umask 066;openssl genrsa -out /app/service.key 2048)

2、利用私鑰生成證書請求文件， 在需要使用證書的主機生成證書請求

openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr

 

3、將證書請求文件傳輸給CA

scp /app/service.csr 192.168.30.107:/etc/pki/CA

 

五、A端，簽署證書

1、為了方便管理，創建一個專門放請求的目錄，把請求都放在這個目錄下，不是必須的

mkdir csr

mv service.csr csr/

 

2、CA 簽署證書，並將證書頒發給請求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 100

注意：默認國家，省，公司名稱三項必須和CA一致

簽署后：會生成更新一些文件

 

3、查看證書中的信息：

openssl x509 -in /etc/pki/CA/certs/service.crt -noout -text

openssl ca -status 99 查看指定編號的證書狀態

也可以傳到windows上查看，看到更清楚，sz發到windows上

 

六、吊銷證書

1、在客戶端（A端）獲取要吊銷的證書的serial（編號）

openssl x509 -in / PATH/FROM/CERT_FILE -noout -serial -subject

2、在CA（B端） 上，根據客戶提交的serial 與subject 信息，對比檢驗是否與index.txt 文件中的信息一致，確認就吊銷證書：

openssl ca -revoke newcerts/99.pem

3、指定第一個吊銷證書的編號

注意：第一次更新證書吊銷列表前，才需要執行

echo 01 > /etc/pki/CA/crlnumber

4、更新證書吊銷列表，將來將吊銷的列表放到互聯網上，讓大家知道

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

5、查看crl 吊銷文件：

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

也可以在windows上查看，sz發到windows上，后綴改為.crl

好了，有關CA證書的東西就這些了。