CA认证和颁发吊销证书

摘要：涉及到网络安全这一块，想必大家都听过CA吧。像百度、淘宝、京东等这些知名网站，每年都要花费一笔money来买CA证书。但其实简单的企业内的CA认证，我们自己就可以实现，今天小编我就讲解一下怎么在企业局部实现CA认证。

一、CA介绍

1、电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中钥的合法性检验的责任。

2、PKI: Public Key Infrastructure

　　签证机构：CA （Certificate Authority）

　　注册机构：RA

　　证书吊销列表：CRL

3、获取证书两种方法：

• 使用证书授权机构

　　生成签名请求（csr）

　　将csr 发送给CA

　　从CA 处接收签名

• 自签名的证书

　　自已签发自己

4、实例：打开百度，按F12，可以查看百度的CA证书

二、创建私有CA和申请证书及简单步骤说明

1、原理介绍：

我们以A端为CA机构，B端是申请证书的公司

2、A端自签证书，自签证书之前我们要，了解查看配置文件的说明 vim /etc/pki/tls/openssl.cnf，会告诉我们怎么自签证书，要求我们创建的东西放在哪些目录下。

[ CA_default ]

dir             　　 　= /etc/pki/CA　　　　 # Where everything is kept   总目录，把总目录付给变量，下边都用变量表示

certs          　　　= $dir/certs 　　   　　# Where the issued certs are kept  发布的证书，若干证书

crl_dir         　　   = $dir/crl 　　　   　　# Where the issued crl are kept      证书吊销列表

database        　  = $dir/index.txt     　　 # database index file.             文本文件，数据库，存放证书编号，简单的索引

#unique_subject  = no 　　　　　 　　  # Set to 'no' to allow creation of    是否允许多个证书用相同的subject（颁发给谁）

　　　　　　　　　　　　　　# several ctificates with same subject.

new_certs_dir 　 = $dir/newcerts 　　　# default place for new certs.  新颁发的证书放的地方

certificate 　　    = $dir/cacert.pem  　  # The CA certificate   证书文件，第一个是自签名证书

serial　　　　    = $dir/serial 　　  　　# The current serial number   下一个要颁发证书的编号

crlnumber　　    = $dir/crlnumber         # the current crl number   吊销列表的编号

　　　　　　　　　　　　　 # must be commented out to leave a V1 CRL

crl              　　  = $dir/crl.pem 　　     # The current CRL          吊销列表存放的文件

private_key         = $dir/private/cakey.pem # The private key   私钥放的地方

RANDFILE         = $dir/private/.rand     # private random number file   随机数

3、申请证书时，要填写的必要信息

[ policy_match ]   注意：match必须匹配，客户端申请证书和CA颁发填写的信息必须相同

countryName     　　　　= match国家

stateOrProvinceName 　= match省、州

organizationName 　　  = match组织、公司名

organizationalUnitName = optional 部门

commonName 　　　　 = supplied 给哪个域名颁发

emailAddress 　　　　  = optional[ policy_anything ] 邮件地址

3、B端证书申请及签署步骤：

① 生成申请请求

② RA 核验

③ CA 签署

④ 获取证书

三、A端创建私有CA

1、创建所需要的文件（如果不创建，后边操作会出错）

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

echo 99 > /etc/pki/CA/serial 指定第一个颁发证书的序列号，一般都是从01开始，也可以不从01开始，但一定要是2位或4位数，我们就以99为例

2、CA 自签证书

① 生成私钥

cd /etc/pki/CA/

(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem [-des3] 2048)

可以加密，也可以不加密，加过密，后边每次都要输入，为了试验方便就不加密了，但加密更安全

tree /etc/pki/CA/ 可以看到cakey.pem 生成了

② 生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem （req申请、-x509自签名、cacert.pem）

　　req：请求申请证书

　　-new: 生成新证书签署请求

　　-x509: 专用于CA 生成自签证书

　　-key: 生成请求时用到的私钥文件

　　-days n ：证书的有效期限

　　-out / PATH/TO/SOMECERTFILE : 生成私钥证书的保存路径

③ 查看

cat /etc/pki/CA/cacert.pem 生成的证书文件，直接cat不能看到信息，用下边的命令

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text   （-text：生成的证书）

④ 也可以传到windows上查看，要改后缀，可以为cer/crt，不然不识别，sz发到windows上

四、B客户端申请证书

1、centos 6 生成私钥

(umask 066;openssl genrsa -out /app/service.key 2048)

2、利用私钥生成证书请求文件， 在需要使用证书的主机生成证书请求

openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr

3、将证书请求文件传输给CA

scp /app/service.csr 192.168.30.107:/etc/pki/CA

五、A端，签署证书

1、为了方便管理，创建一个专门放请求的目录，把请求都放在这个目录下，不是必须的

mkdir csr

mv service.csr csr/

2、CA 签署证书，并将证书颁发给请求者

openssl ca -in /etc/pki/CA/csr/service.csr -out /etc/pki/CA/certs/service.crt -days 100

注意：默认国家，省，公司名称三项必须和CA一致

签署后：会生成更新一些文件

3、查看证书中的信息：

openssl x509 -in /etc/pki/CA/certs/service.crt -noout -text

openssl ca -status 99 查看指定编号的证书状态

也可以传到windows上查看，看到更清楚，sz发到windows上

六、吊销证书

1、在客户端（A端）获取要吊销的证书的serial（编号）

openssl x509 -in / PATH/FROM/CERT_FILE -noout -serial -subject

2、在CA（B端） 上，根据客户提交的serial 与subject 信息，对比检验是否与index.txt 文件中的信息一致，确认就吊销证书：

openssl ca -revoke newcerts/99.pem

3、指定第一个吊销证书的编号

注意：第一次更新证书吊销列表前，才需要执行

echo 01 > /etc/pki/CA/crlnumber

4、更新证书吊销列表，将来将吊销的列表放到互联网上，让大家知道

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

5、查看crl 吊销文件：

openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

也可以在windows上查看，sz发到windows上，后缀改为.crl

好了，有关CA证书的东西就这些了。