自签名证书工具cfssl详解

概述

GitHub地址：https://github.com/cloudflare/cfssl

官方地址：https://pkg.cfssl.org

CFSSL（CloudFlare's PKI and TLS toolkit）由 CloudFlare 用go语言开发的一个开源工具，用于证书签名、验证和管理。

生成自签证书的方式有多种，CFSSL支持签发三种类型的证书：‌client证书、‌server证书以及集群成员之间的peer证书。推荐使用cfssl工具或者openssl工具来生成，openssl也是开源的证书生成工具。

生成证书基本概念

CA（证书颁发机构）

CA（Certificate Authority）是 PKI（公钥基础设施）体系的核心信任锚点，负责：

• 证书签名：验证申请者身份后，使用自己的私钥为其颁发数字证书。
• 信任分发：通过公开的根证书（Root CA），让客户端信任其签署的所有证书。
• 证书管理：包括证书颁发、更新、撤销和状态查询（OCSP/CRL）。

CA证书类型类型分为三类，分别是：

• 根 CA（Root CA）：
  
  自签名证书，位于信任链顶端。
  
  通常离线存储，极少直接签署终端用户证书。
• 中间 CA（Intermediate CA）：
  
  由根 CA 签署，用于分担证书签署工作。
  
  即使私钥泄露，影响范围也仅限于其签署的证书。
• 终端 CA：
  
  直接签署服务器 / 客户端证书的 CA。

安全规范实践：

• 分层设计：使用根 CA → 中间 CA → 终端证书的三级结构。
• 私钥保护：根 CA 私钥必须离线存储（如 HSM 硬件安全模块）。
• 定期轮换：中间 CA 证书有效期通常为 3-5 年，需定期更新。

CSR（证书签名请求）

CSR（Certificate Signing Request）是客户端向 CA 提交的申请文件，创建证书前需要先生成 CSR。

CSR文件通常包含以下信息：

• 公钥：申请者生成的公钥。
• 身份信息：如域名、组织名称、国家代码等。
• 扩展字段：如 SAN（Subject Alternative Name）、密钥用途等。

生产CSR的注意事项：

• 私钥绝对保密：CSR 生成过程中产生的私钥需严格保密，不可泄露。
• 信息准确性：CSR 中的域名（CN/SAN）必须与服务器实际域名一致，否则 TLS 握手会失败。

证书配置文件

主要用来定义证书的使用场景、有效期等参数，CFSSL使用 JSON 格式（如 ca-config.json）的证书配置文件

三者工作流程：

Linux安装cfssl工具

cfssl依赖三个工具包，分别是：cfssl、cfssljson、cfss-certinfo

• cfssl：cfssl 是工具集的核心，提供了证书生命周期管理的所有功能：

  • 证书生成：创建自签名证书、CA 证书和用户证书。
  • 证书签名：处理证书签名请求（CSR）并颁发证书。
  • 配置管理：使用 JSON 配置文件定义证书策略和使用场景。
  • CA 管理：创建和管理证书颁发机构（CA）层次结构。
  • OCSP/CRL：生成在线证书状态协议（OCSP）响应和证书撤销列表（CRL）。

• cfssljson：专门用于处理 cfssl 输出的 JSON 数据，主要功能包括：

  • 解析 JSON 输出：将 cfssl 生成的 JSON 格式证书、密钥和 CSR 转换为单独的文件。
  • 文件保存：自动创建并保存证书（.pem）、私钥（.key）和 CSR（.csr）文件。

• cfssl-certinfo：用于查看和验证证书的详细信息，功能包括：

  • 证书解析：显示证书的元数据（如有效期、颁发者、主题、公钥等）。
  • 证书链验证：检查证书的签名链是否有效。
  • 格式转换：将证书以人类可读的格式输出。

下载工具

curl -L -o /usr/local/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -L -o /usr/local/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

授予执行权限

chmod +x /usr/local/bin/cfssl*

cfssl gencert命令详解

cfssl gencert 是 CloudFlare PKI 工具集中用于生成证书签名请求（CSR）和证书的核心命令。

核心参数：

• -ca [path]：指定用于签名的 CA 证书文件路径（PEM 格式）。

示例：-ca=ca.pem

• -ca-key [path]：指定 CA 的私钥文件路径（PEM 格式）。

示例：-ca-key=ca-key.pem

• -config [path]：指定证书签名配置文件（JSON 格式），定义证书的有效期、用途等策略。

示例：-config=ca-config.json

• -profile [name]：指定使用配置文件中的哪个签名策略。对应CA配置文件中的profiles字段，其值可以为server、client、peer、ca、kubernets等

示例：-profile=server

• -hostname [list]：指定证书的 Subject Alternative Name (SAN) 字段，包含域名和 IP 地址，多个值用逗号分隔

示例：-hostname=example.com,www.example.com,192.168.1.1

• -cn [name]：指定证书的 Common Name (CN)

示例：-cn="My Server"

• -key-algo [algo]：指定密钥算法，支持 rsa、ecdsa 等，默认rsa

示例：-key-algo=rsa

• -key-size [bits]：指定密钥长度（RSA 建议 2048+，ECDSA 建议 256+）

示例：-key-size=2048

• -initca：生成自签名的根 CA 证书。

示例：cfssl gencert -initca ca-csr.json

• -self-signed：生成自签名证书（非 CA 证书）

示例：cfssl gencert -self-signed server.json

实战：生成证书

创建根CA文件

# 根ca文件，需要将注释去掉
[root@master ~/cfssl]# cat ca-config.json
{
  "signing": {
    "default": {
       # 配置默认证书有效期为10年，通常用于根CA证书
      "expiry": "87600h"
    },
    "profiles": {
      # 定义server端的证书
      "server": {
        # 1年有效期
        "expiry": "8760h",
        "usages": ["signing", "key encipherment", "server auth"]
      },
      # 定义client端的证书，有效期为一年
      "client": {
        "expiry": "8760h",
        "usages": ["signing", "key encipherment", "client auth"]
      },
      # 定义peer端的证书，有效期为一年
      "peer": {
        "expiry": "8760h",
        "usages": ["signing", "key encipherment", "server auth", "client auth"]
      },
      # 定义kubernetes的证书，有效期为一年
      "kubernetes": {
        "expiry": "8760h",
        "usages": ["signing", "key encipherment", "server auth", "client auth"]
      },
      # 定义ca的证书，有效期为五年
      "ca": {
        "expiry": "43800h",
        "usages": ["signing", "key encipherment", "server auth", "client auth"]
      }
    }
  }
}

配置文件字段说明：

usages：指定的证书用途

• signing：允许证书用于数字签名。数字签名可以确保数据在传输过程中不被篡改，并且可以验证数据的来源。
• key encipherment：允许证书用于加密密钥。在 TLS 握手过程中，客户端和服务器会交换会话密钥，这个过程通常使用证书进行加密。
• server auth：专门用于服务器身份验证。当客户端连接到服务器时，服务器会出示自己的证书，客户端会验证这个证书是否由信任的 CA 颁发，以及证书中的域名是否与自己要访问的域名一致。
• client auth：专门用于客户端身份验证。在双向 TLS 中，服务器也会要求客户端提供证书，以验证客户端的身份。

各端证书使用场景：

• server：HTTPS 网站、SMTP、IMAP、POP3 等邮件服务器、VPN 服务器、任何需要向客户端证明自己身份的服务
• client：企业内部应用，要求员工使用客户端证书登录、API 访问，使用客户端证书进行身份验证、安全邮件客户端，使用证书进行身份验证
• peer：区块链网络中的节点通信、分布式系统中节点间的安全通信、金融机构之间的安全数据交换
• kubernetes：Kubernetes 组件证书（如 API Server、etcd）。
• ca：中间 CA 证书（需配合 -ca 参数使用）。

创建根 CA CSR 配置文件

# 定义CSR文件，需要将json文件中的注释去掉
[root@master ~/cfssl]# cat ca-csr.json
{
  # 根 CA 的通用名称，对于服务器证书，CN 通常是域名（如www.example.com）；
  # 对于 CA 证书，CN 是 CA 的标识名称。
  "CN": "My Root CA",
  "key": {
    # 加密算法
    "algo": "rsa",
    # 密钥长度
    "size": 4096
  },
  "names": [
    {
      # 国家代码，CN代表是中国
      "C": "CN",
      # 省份
      "ST": "Beijing",
      # 城市或地区
      "L": "Beijing",
      # 组织名称（Organization），可以理解成公司名称
      "O": "rootca",
      # 组织单位（Organizational Unit），可以理解成公司部门
      "OU": "ca"
    }
  ],
  # 根 CA 证书的配置，指定有效期为10年
  "ca": {
    "expiry": "87600h"
  }
}

生成根 CA 证书和私钥

[root@master ~/cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca/ca
2025/05/15 11:23:34 [INFO] generating a new CA key and certificate from CSR
2025/05/15 11:23:34 [INFO] generate received request
2025/05/15 11:23:34 [INFO] received CSR
2025/05/15 11:23:34 [INFO] generating key: rsa-4096
2025/05/15 11:23:34 [INFO] encoded CSR
2025/05/15 11:23:34 [INFO] signed certificate with serial number 492661591325776778969123330542788728689689366584

命令解释：

cfssl gencert：cfssl 工具的子命令，用于生成证书
-initca：指定生成自签名的根 CA 证书
ca-csr.json：证书签名请求（CSR）的配置文件路径，对应上面创建的 ca-csr.json

cfssljson：处理 cfssl 生成的 JSON 输出并转换为文件
-bare ca：指定输出文件名前缀为 ca，会生成以下三个文件：
	ca.pem：根 CA 证书（自签名）
	ca-key.pem：根 CA 的私钥（必须严格保密！）
	ca.csr：证书签名请求（通常自签名 CA 不需要保留此文件）

查看当前的目录：

[root@master ~/cfssl]# tree
.
├── ca
│   ├── ca.csr
│   ├── ca-key.pem # 根 CA 私钥（严格保密！）
│   └── ca.pem #根 CA 证书（公钥，需分发给客户端）
├── ca-config.json
├── ca-csr.json

生成中间CA证书和私钥

中间CA证书文件

[root@master ~/cfssl]# cat intermediate-csr.json
{
  "CN": "My Intermediate CA",
  "key": {
    "algo": "rsa",
    "size": 4096
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "baidu",
      "OU": "Intermediate CA"
    }
  ]
}

生成中间 CA 证书和私钥

[root@master ~/cfssl]# cfssl gencert \
  -ca=ca/ca.pem \
  -ca-key=ca/ca-key.pem \
  -config=ca-config.json \
  -profile=ca \
  intermediate-csr.json | cfssljson -bare intermediate/intermediate
2025/05/15 11:29:49 [INFO] generate received request
2025/05/15 11:29:49 [INFO] received CSR
2025/05/15 11:29:49 [INFO] generating key: rsa-4096
2025/05/15 11:29:49 [INFO] encoded CSR
2025/05/15 11:29:49 [INFO] signed certificate with serial number 722124812765078011706922545691404003361157472292
2025/05/15 11:29:49 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

查看文件

[root@master ~/cfssl]# tree
.
├── ca
│   ├── ca.csr
│   ├── ca-key.pem # 根 CA 私钥（严格保密！）
│   └── ca.pem #根 CA 证书（公钥，需分发给客户端）
├── ca-config.json
├── ca-csr.json
├── intermediate
│   ├── intermediate.csr
│   ├── intermediate-key.pem # 中间 CA 私钥（需保密）
│   └── intermediate.pem #中间 CA 证书
└── intermediate-csr.json

生成服务器证书

配置服务器证书文件

[root@master ~/cfssl]# cat server-csr.json
{
  "CN": "*.huangsir-devops.cn",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "hosts": [
    "*.huangsir-devops.cn",
    "www.huangsir-devops.cn",
    "api.huangsir-devops.cn",
    "localhost",
    "127.0.0.1",
    "10.37.97.56"
  ]
}

使用中间CA签署服务器证书

[root@master ~/cfssl]# cfssl gencert \
  -ca=intermediate/intermediate.pem \
  -ca-key=intermediate/intermediate-key.pem \
  -config=ca-config.json \
  -profile=server \
  server-csr.json | cfssljson -bare server/server
2025/05/15 11:37:29 [INFO] generate received request
2025/05/15 11:37:29 [INFO] received CSR
2025/05/15 11:37:29 [INFO] generating key: rsa-2048
2025/05/15 11:37:30 [INFO] encoded CSR
2025/05/15 11:37:30 [INFO] signed certificate with serial number 666935063085228543415452828659279667302813819643

查看生成的文件

[root@master ~/cfssl]# tree
.
├── ca
│   ├── ca.csr
│   ├── ca-key.pem
│   └── ca.pem
├── ca-config.json
├── ca-csr.json
├── intermediate
│   ├── intermediate.csr
│   ├── intermediate-key.pem
│   └── intermediate.pem
├── intermediate-csr.json
├── server
│   ├── server.csr
│   ├── server-key.pem #服务端私钥
│   └── server.pem #服务端公钥
└── server-csr.json

nginx测试配置

[root@master /data/nginx]# cat /etc/nginx/conf.d/test1.conf
server{
  listen 443 ssl;
  server_name www.huangsir-devops.cn;
  # 配置公钥证书
  ssl_certificate /etc/ssl/server/server.pem;
  # 配置私钥证书
  ssl_certificate_key /etc/ssl/server/server-key.pem;

  # 推荐的 SSL 协议和加密算法（安全配置）
  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
  ssl_prefer_server_ciphers off;

  root /data/nginx/;
  location / {
    index index.html;
  }
}

# http跳转到https
server {
 listen 80;
 server_name www.huangsir-devops.cn;
 return 301 https://www.huangsir-devops.cn$request_uri;
}

生成客户端证书

配置客户端证书文件

[root@master ~/cfssl]# cat client-csr.json
{
  "CN": "client",
  "key": {
    "algo": "rsa",
    "size": 2048
  }
}

使用中间CA签署客户端证书

[root@master ~/cfssl]# cfssl gencert \
  -ca=intermediate/intermediate.pem \
  -ca-key=intermediate/intermediate-key.pem \
  -config=ca-config.json \
  -profile=client \
  client-csr.json | cfssljson -bare client/client

# 查看证书
[root@master ~/cfssl]# tree
.
├── ca
│   ├── ca-key.pem
│   ├── ca.csr
│   └── ca.pem
├── ca-config.json
├── ca-csr.json
├── client
│   ├── client-key.pem # 公钥
│   ├── client.csr
│   └── client.pem # 私钥证书
├── client-csr.json
├── intermediate
│   ├── intermediate-key.pem
│   ├── intermediate.csr
│   └── intermediate.pem
├── intermediate-csr.json
├── server
│   ├── server-key.pem
│   ├── server.csr
│   └── server.pem
└── server-csr.json

4 directories, 17 files

生成K8s证书

K8s证书有很多类型，

生成API Server证书

配置客户端证书文件

[root@master ~/cfssl]# cat k8s-apiserver-csr.json
{
  "CN": "kubernetes-apiserver",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "hosts": [
   # Kubernetes服务IP (Service Cluster IP Range)
    "10.0.0.30",
    "10.0.0.31",
    "10.0.0.32"
     # API Server IP
    "192.168.1.10",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local",
    "localhost",
    "127.0.0.1"
  ]
}

使用中间CA签署客户端证书

[root@master ~/cfssl]# cfssl gencert \
  -ca=intermediate/intermediate.pem \
  -ca-key=intermediate/intermediate-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  k8s-apiserver-csr.json | cfssljson -bare api-server/api-server

持续更新中