使用 OpenSSL 创建私有 CA:1 根证书
OpenSSL 创建私有 CA 三部曲:
使用 OpenSSL 创建私有 CA:1 根证书
使用 OpenSSL 创建私有 CA:2 中间证书
使用 OpenSSL 创建私有 CA:3 用户证书
OpenSSL 是一个免费开源的库,它提供了一些处理数字证书的命令行工具。其中一些工具可以用作证书颁发机构(Certificate Authority 即 CA)。
证书颁发机构(CA)是签署数字证书的实体。许多网站需要让他们的客户知道连接是安全的,所以需要从一个被广泛信任的CA(例如VeriSign, DigiCert)来为他们的域名签署证书,也就是我们常说的 HTTPS 证书。
本系列文章的目的不是让你创建像 VeriSign 那样的 CA 机构。在很多情况下,我们需要在公司局域网内的网站中启用 HTTPS,比如测试环境,或者是公司内网中的管理系统(现在主流的浏览器都把 HTTP 站点标记为不安全)。此时通过 OpenSSL 创建私有 CA 并颁发证书就是很好的选择了。
本系列分为三篇文章,即本文《使用 OpenSSL 创建私有 CA:1 根证书》后续的《使用 OpenSSL 创建私有 CA:2 中间证书》和《使用 OpenSSL 创建私有 CA:3 用户证书》。
说明:本系列文章的演示环境为 Ubuntu 18.04,OpenSSL 的版本为 1.1.0g。
基本目录结构
创建 myca 目录保存 CA 相关的所有内容,然后创建 myca/rootca 目录用来保存根证书相关的内容:
至于上图中的 myca/powerca 和 myca/usercert 则存放后面要介绍的中间证书和用户证书的内容。
准备根证书的配置文件
OpenSSL 程序提供了一个默认的配置文件:/etc/ssl/openssl.cnf,但是由于我们自定义的内容比较多,所以干脆创建一个套单独的配置文件。创建文件 rootca/rootca.cnf,编辑其内容如下:
# OpenSSL root CA configuration file.
# v1
[ ca ]
# `man ca`
default_ca = CA_default
[ CA_default ]
# Directory and file locations.
dir = /home/nick/projects/myca/rootca
certs = $dir/certs
crl_dir = $dir/crl
new_certs_dir = $dir/newcerts
database = $dir/db/index
serial = $dir/db/serial
RANDFILE = $dir/private/random
# The root key and root certificate.
private_key = $dir/private/rootca.key.pem
certificate = $dir/certs/rootca.cert.pem
# For certificate revocation lists.
crlnumber = $dir/db/crlnumber
crl = $dir/crl/rootca.crl.pem
crl_extensions = crl_ext
default_crl_days =
# SHA- is deprecated, so use SHA- instead.
default_md = sha256
name_opt = ca_default
cert_opt = ca_default
default_days =
preserve = no
policy = policy_strict
[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
# Options for the `req` tool (`man req`).
# Optionally, specify some defaults.
prompt = no
input_password = default_bits =
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA- is deprecated, so use SHA- instead.
default_md = sha256
# Extension to add when the -x509 option is used.
# make sure use x509_extensions, do not use req_extensions.
x509_extensions = v3_ca
# use the req_extensions not work.
#req_extensions = v3_ca
[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName = CN
stateOrProvinceName = ShaanXi
localityName = Xian
organizationName = NickLi Ltd
organizationalUnitName = NickLi Ltd CA
commonName = NickLi Root CA
emailAddress = ljfpower@.com
[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always
[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
这是一个非常重要的配置文件,指定了很多配置的目录,其中最重要的一个已经被抽取成了变量 dir。我们要做的就是指定 dir 的路径,并且根据下面的步骤来创建其余的目录和文件。
为了把创建证书的过程也自动化掉,笔者在 req 段添加了下面的配置:
[ req ]
prompt = no
input_password =
其中的 123456 就是后面创建的秘钥的密码,这样在创建 Certificate Signing Requests(csr) 时就不需要以交互的方式输入密码了。
下面的内容是默认的 CA 信息:
[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = ShaanXi
localityName = Xian
organizationName = NickLi Ltd
organizationalUnitName = NickLi Ltd CA
commonName = NickLi Root CA
emailAddress = ljfpower@.com
准备目录和文件
在 rootca 目录下创建下面的目录和文件:
rootca/certs/ # 存放新建的证书
rootca/db/ # spenssl 用来存放信息的目录
rootca/private/ # 存放私钥
rootca/crl/
rootca/newcerts/ rootca/db/index
rootca/db/serial
rootca/db/crlnumber
其中的 rootca/private 目录需要 700 的权限,主要是为了既保证私钥的安全有能够创建私钥文件。rootca/db/serial 和 rootca/db/crlnumber 则需要被初始化为特定的值。简单起见我们可以使用下面的脚本来创建这些目录和文件:
#!/bin/bash # create dir certs db private crl newcerts under rootca dir.
if [ ! -d rootca/certs ]; then
mkdir -p rootca/certs
fi if [ ! -d rootca/db ]; then
mkdir -p rootca/db
touch rootca/db/index
openssl rand -hex > rootca/db/serial
echo > rootca/db/crlnumber
fi if [ ! -d rootca/private ]; then
mkdir -p rootca/private
chmod rootca/private
fi if [ ! -d rootca/crl ]; then
mkdir -p rootca/crl
fi if [ ! -d rootca/newcerts ]; then
mkdir -p rootca/newcerts
fi
把上面的代码保存到 myca/roothelpler.sh 文件中,然后 cd 到 myca 目录下执行:
$ ./roothelpler.sh
此时当前目录为 myca,rootca 下的子目录和文件都已经创建成功。
创建 root 秘钥
进入 rootca 目录:
$ cd rootca
执行下面的命令创建私钥:
$ openssl genrsa -aes256 -out private/rootca.key.pem
这里笔者设置的密码为:123456,记住这个密码,后面还会用到。然后为了确保安全,把秘钥的访问权限设置为 400:
$ chmod private/rootca.key.pem
此时当前目录为 myca/rootca。
创建 Certificate Signing Requests(csr)
执行下面的命令创建 csr:
$ openssl req -new \
-config rootca.cnf \
-sha256 \
-key private/rootca.key.pem \
-out csr/rootca.csr.pem
下面的命令可以检查生成的 csr:
$ openssl req -text -noout -in csr/rootca.csr.pem
注意,csr 中包含了 CA 的基本信息,和公钥信息。
创建 CA 的根证书
有了前一步中生成的 csr,我们就可以通过下面的命令生成 CA 的根证书了:
$ openssl ca -selfsign \
-config rootca.cnf \
-in csr/rootca.csr.pem \
-extensions v3_ca \
-days \
-out certs/rootca.cert.pem
在交互式的提示中输入私钥的密码 123456,并同意其它的确认提示,就完成了根证书的生成操作。注意,上面命令中的 -selfsing 选项,它说明所有的根证书都是自签名的。同样,我们也可以通过命令来查看证书的详细信息:
$ openssl x509 -noout -text -in certs/rootca.cert.pem
其中的 Signature Algorithm 为签名算法;Issurer 是签发方,即签署证书的实体;Validity 指明证书的有效期为 2018-11-26 号至 2038-11-21 号;然后是公钥信息;Subject 指明证书自身的信息,这里 Issurer 和 Subject 的信息是一样的;下面还有 X509 协议相关的信息,这部分信息由配置文件 rootca.cnf 中的 [ v3_ca ] 段控制:
红框中的信息表明这个证书被用作 CA。
总结
至此我们已经为私有的 CA 创建了根证书,在接下来的《使用 OpenSSL 创建私有 CA:中间证书》一文中我们将详细的介绍如何创建 CA 的中间证书。
参考:
OpenSSL Certificate Authority
《openssl-cookbook》
使用 OpenSSL 创建私有 CA:1 根证书的更多相关文章
- 使用 OpenSSL 创建私有 CA:3 用户证书
OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 在前文&l ...
- 使用 OpenSSL 创建私有 CA:2 中间证书
OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 本文将在前 ...
- 创建私有CA并签发证书
一.创建私有CA 1.创建所需要的文件 2.创建私有密钥 3.CA自签证书 -new: 生成新证书签署请求: -x509: 专用于CA生成自签证书:不自签的时候不要加该选项 ...
- OpenSSL创建私有CA
1.编辑/etc/pki/tls/openssl.cnf [ CA_default ] dir = /etc/pki/CA # 工作目录certs ...
- 如何通过Openssl实现私有CA,并为HTTP服务提供TLS/SLL安全机制
原文链接:http://guodayong.blog.51cto.com/263451/1181059 Openssl是SSL的开源实现(可以免费下载应用程序),是一种安全机密程序,主要用于提高远程登 ...
- 自签名证书和私有CA签名的证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名【转】
自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有 ...
- Openssl与私有CA搭建
转自:http://www.tuicool.com/articles/aURnim 随着网络技术的发展.internet的全球化,信息共享程度被进一步提高,各种基于互联网的应用如电子政务.电子商务日益 ...
- Linux操作系统安全-局域网私有CA(Certificate Authority)证书服务器实战篇
Linux操作系统安全-局域网私有CA(Certificate Authority)证书服务器实战篇 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.试验架构说明 node101 ...
- 搭建私有CA并实现证书颁发
一.搭建私有CA服务器 1.安装包 # yum -y install openssl 2.生成密钥对儿 # cd /etc/pki/CA # (umask 077;openssl genrsa -ou ...
随机推荐
- CentOS6.5内 Oracle 11GR2静默安装
一.修改配置文件 1.1.修改/etc/security/limits.conf文件,修改用户的SHELL的限制. 输入命令:vi /etc/security/limits.conf,将下列内容加入该 ...
- c/c++ 线性表之单向链表
c/c++ 线性表之单向链表 线性表之单向链表 不是存放在连续的内存空间,链表中的每个节点的next都指向下一个节点,最后一个节点的下一个节点是NULL. 真实的第一个节点是头节点,头节点不存放数据, ...
- Selenium Webdriver 中的 executeScript 使用方法
1.使用executeScript 返回一个WebElement . 下例中我们将一个浏览器中的JavaScript 对象返回到客户端(C#,JAVA,Python等). IWebElement el ...
- IL范围不正确
一.昨晚在改过一个bug之后在本机测试没问题,于是提交代码在测试服务器上发布之后测试的也没问题. 既然测试的都没问题,那就要往正式环境中发布咯,然而,发布到正式环境中就报错:IL范围不正确,这个错是打 ...
- xshell的一些常用配置
1 在xshell中鼠标滚轮和右键的快捷方式 利用鼠标滚轮和右键快速粘贴上面复制的内容 打开xshell的工具---选项-----键盘和鼠标 点击确定 回到xshell即可使用
- May 25. 2018 Week 21st Friday
Nothing for nothing. 不费力气,就一无所得. These days I am busy in compiling a lightweight communication libra ...
- js中图片上传,多次上传同一张不生效
在做图片上传的功能时, 使用删除功能删除了一张图片, 然后想重新上传原来删除的图片, 结果预览不显示, 也不能上传成功 解决办法, 在删除方法里置空input $("#id").f ...
- 你好,我是梁桐铭,.NET程序员,啰嗦下过去几年来的感悟吧
序 所有的文章都会有序言,我的当然也不例外. 因为职业和工作的关系,很少有时间陪伴家人,感谢妻子10年以来的容忍和支持,感谢女儿给我生活带来的乐趣. 希望孩子长大了之后能热爱编程(可以不用以它谋生). ...
- 连接rabbitmq
#消费者import pika # 连接服务器 credentials = pika.PlainCredentials('*****', '***') connection = pika.Blocki ...
- tensorflow中的batch_normalization实现
tensorflow中实现batch_normalization的函数主要有两个: 1)tf.nn.moments 2)tf.nn.batch_normalization tf.nn.moments主 ...