2. 程式人生 > >https學習筆記三----OpenSSL生成root CA及簽發證書

https學習筆記三----OpenSSL生成root CA及簽發證書

阿新 發佈:2018-03-12
open spa centos7 cisc div encrypt 自簽證書 oca led

在https學習筆記二,已經弄清了數字證書的概念,組成和在https連接過程中,客戶端是如何驗證服務器端的證書的。這一章,主要介紹下如何使用openssl庫來創建key file,以及生成root CA及簽發子證書。學習主要參考官方文檔:https://www.feistyduck.com/library/openssl-cookbook/online/ch-openssl.html#

一、openssl 簡介

openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS 協議的實現。官網:https://www.openssl.org/source/,其中有3個主要的用途:1、密碼算法庫(建立 RSA、DH、DSA key 參數,計算消息摘要,使用各種 Cipher加密/解密) 2、密鑰和證書封裝管理功能(建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表));3、SSL通信API接口(SSL/TLS 客戶端以及服務器的測試,處理S/MIME 或者加密郵件)。

二、安裝openssl(linux CentOS7 32位)

如果使用的是unix操作系統,可能安裝系統的時候,這個庫就已經有且存在了。但是在使用前,需要註意下當前openssl的庫的版本 

openssl version
OpenSSL 1.0.1 14 Mar 2012

因為版本1.0.1是一個很重要的風水嶺版本。因為1.0.1是第一個支持TLS1.1和1.2的版本。支持新的協議。操作系統的選擇也很重要,比如Ubuntu 12.04 LTS,客戶端不支持SSL2。這裏安裝以CentOS7系統為例:

A、 下載openssl庫文件:https://www.openssl.org/source/

B、將下載的壓縮包放在根目錄下,解壓縮,進入解壓縮文件(得到openssl-openssl-1.0.0文件夾)cd openssl-1.0.0

C、編譯前配置openssl,執行命令:./config --prefix=/usr/local/openssl,其中 ( --prefix )參數為欲安裝之目錄,也就是安裝後的檔案會出現在該目錄下。

D、編譯openssl,執行命令: make install 

小插曲:安裝openssl報錯

1、問題描述:安裝完成,查看版本信息的時候報錯了,缺少一個庫文件libssl.so.1.1。
[root@b6e4cbd27773 /usr/local/openssl/bin]# openssl version
      openssl: error 
 
while loading shared libraries: libssl.so.1.1: cannot open shared 

object file: No such file or directory
2、解決方法有依賴沒裝libssl。在/etc/ld.so.conf文件中寫入openssl庫文件的搜索路徑,使用修改後的conf生效即可:
echo "/usr/local/lib64" >> /etc/ld.so.conf
ldconfig -v

三、使用openssl生成RSA密鑰對

使用openssl的私鑰產生公鑰前,需要了解以下幾點:

1、key算法:openssl 支持生成RSA,DSA,ECDSA的密鑰對,但是RSA是目前使用最普遍的。

2、Key長度:RSA的2048是公認較比較安全的key長度。

3、密碼(Passphrase):在key上使用密碼是一個可選值,但是一般都是強烈建議的(官網這樣寫的,實際項目中很多都沒有設置口令),這樣每次使用key文件時,都需要輸入這個密碼才能使用,增強了其安全性,但是隨之而來的易用性也會變差。

使用genrsa命令來生成RSA key( 產生DSA其他算法的key文件,可以直接參考學習官網教程,在此處以常用的為例),2步驟能完成:

A、生成私鑰:

使用命令:openssl genrsa -aes128 -out fd.key 2048 。以下輸入了為這個key值設置了密碼,且密碼使用aes128加密保存。

openssl genrsa -aes128 -out fd.key 2048
Generating RSA private key, 2048 bit long modulus
....+++
...................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for fd.key: ****************
Verifying - Enter pass phrase for fd.key: ****************

這個key文件就是私鑰文件。可以查看下文件內容:

 cat fd.key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,01EC21976A463CE36E9DB59FF6AF689A

vERmFJzsLeAEDqWdXX4rNwogJp+y95uTnw+bOjWRw1+O1qgGqxQXPtH3LWDUz1Ym
mkpxmIwlSidVSUuUrrUzIL+V21EJ1W9iQ71SJoPOyzX7dYX5GCAwQm9Tsb40FhV/
[21 lines removed...]
4phGTprEnEwrffRnYrt7khQwrJhNsw6TTtthMhx/UCJdpQdaLW/TuylaJMWL1JRW
i321s5me5ej6Pr4fGccNOe7lZK+563d7v5znAx+Wo1C+F7YgF+g8LOQ8emC+6AVV
-----END RSA PRIVATE KEY-----

B、生成公鑰:

使用命令:openssl rsa -in fd.key -pubout -out fd-public.key

openssl rsa -in fd.key -pubout -out fd-public.key
Enter pass phrase for fd.key: ****************

查看這個key文件,就是公鑰:

 cat fd-public.key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnlccwQ9FRyJYHM8sFNsY
PUHJHJzhJdwcS7kBptutf/L6OvoEAzCVHi/m0qAA4QM5BziZgnvv+FNnE3sgE5pz
iovEHJ3C959mNQmpvnedXwfcOIlbrNqdISJiP0js6mDCzYjSO1NCQoy3UpYwvwj7
0ryR1F+abARehlts/Xs/PtX3VamrljiJN6JNgFICy3ZvEhLZEKxR7oob7TnyZDrj
IHxBbqPNzeiqLCFLFPGgJPa0cH8DdovBTesvu7wr/ecsf8CYyUCdEwGkZh9DKtdU
HFa9H8tWW2mX6uwYeHCnf2HTw0E8vjtOb8oYQxlQxtL7dpFyMgrpPOoOVkZZW/P0
NQIDAQAB
-----END PUBLIC KEY-----

三、獲取權威機構頒發證書步驟

獲取權威機構頒發的證書,需要先得到私鑰的key文件(.key),然後使用私鑰的key文件生成sign req 文件(.csr),最後把csr文件發給權威機構,等待權威機構認證,認證成功後,會返回證書文件(.crt)。

A:生成私鑰key。

與第二節使用openssl生成RSA密鑰對的步驟A一致。使用命令:openssl genrsa -aes128 -out fd.key 2048

B:私鑰的key文件生成sign req 文件(.csr)

生成csr文件時,需要填寫一些關於待簽人或者公司的一些信息,比如國家名,省份名,組織機構名,主機名,email名,有些信息可以不填寫,使用.標識。

使用命令:openssl req -new -key fd.key -out fd.csr。過程如下: 

$ openssl req -new -key fd.key -out fd.csr
Enter pass phrase for fd.key: ****************
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ., the field will be left blank.
-----
Country Name (2 letter code) [AU]:GB
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:London
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Feisty Duck Ltd
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.feistyduck.com
Email Address []:[email protected]

Please enter the following extra attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

C、把csr文件發給權威機構,等待權威機構認證,交費獲取證書即可。

四、OpenSSL生成root CA及簽發證書

有時候,使用SSL協議是自己內部服務器使用的,這時可以不必去找第三方權威的CA機構做證書,可以做自簽證書(自己創建root CA(非權威))主要有以下三個步驟。

A:創建openssl.cnf在使用default-ca時需要使用的SSL的工作目錄(第一次必須要設置)。

1、查看openssl的配置文件:

openssl version -a
OpenSSL 1.0.1e-fips 17 Nov 2016
built on: Fri Nov 18 16:28:23 CST 2016
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  rdrand dynamic

2、找到OPENSSLDIR: "/etc/pki/tls"的配置文件openssl.cnf

根據配置文件下的[ CA_default ]節點默認值,創建對應文件夾和文件。

技術分享圖片

按順序在/etc/pki/CA下執行以下命令創建文件夾和文件:

技術分享圖片

其中,certs:存放已頒發的證書;newcerts:存放CA指令生成的新證書;private:存放私鑰;crl:存放已吊銷的整數;index.txt:penSSL定義的已簽發證書的文本數據庫文件,這個文件通常在初始化的時候是空的;serial:證書簽發時使用的序列號參考文件,該文件的序列號是以16進制格式進行存放的,該文件必須提供並且包含一個有效的序列號。

執行完後,當前目錄為:

[tt@SWEBMYVMM000210 /etc/pki/CA]$ll
total 20
drwxrwxrwx 2 root root 4096 Mar 12 11:08 certs
drwxrwxrwx 2 root root 4096 Nov 18  2016 crl
-rwxrwxrwx 1 root root    0 Mar 12 11:06 index.txt
drwxrwxrwx 2 root root 4096 Nov 18  2016 newcerts
drwxrwxrwx 2 root root 4096 Nov 18  2016 private
-rwxrwxrwx 1 root root   33 Mar 12 11:12 serial
 小插曲:使用自簽證書簽名用戶證書時報錯,文件不存在

  1、問題描述:

     openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

     Using configuration from /etc/pki/tls/openssl.cnf

     /etc/pki/CA/serial: No such file or directory
error while loading serial number
139996157081440:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen(‘/etc/pki/CA/serial‘,‘r‘)
139996157081440:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: 
 2、問題解決:
     如果不設置工作目錄,後續第三步的最後一小步,使用openssl的ca命令產生用戶的ca證書時會報錯,創建openssl.cnf在使用default-ca時需要使用的SSL的工作目錄即可。

B:生成CA根證書(root ca證書)。

步驟:生成CA私鑰(.key)-->生成CA證書請求(.csr)-->自簽名得到根證書(.crt)(CA給自已頒發的證書)。

# Generate CA private key --->ca.key

openssl genrsa -out ca.key 2048

# Generate CSR --->ca.csr

openssl req -new -key ca.key -out ca.csr

# Generate Self Signed certificate(CA 根證書) ---> ca.crt

openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt 

小插曲:直接根據key文件獲取CA根證書的命令

方法:在得到key文件後,執行以下命令:
     openssl req -new -x509 -days 365 -key fd.key -out fd.crt
     如果不想填寫那些註冊信息,執行以下命令:
     openssl req -new -x509 -days 365 -key fd.key -out fd.crt subj "/C=GB/L=London/O=Feisty Duck Ltd/CN=www.feistyduck.com

C:用自簽根證書 ca.crt 給用戶證書簽名。

步驟:生成私鑰(.key)-->生成證書請求(.csr)-->用CA根證書簽名得到證書(.crt)

#  private key  --->server.key

openssl genrsa  -out server.key 1024
# generate csr  --->server.csr

openssl req -new -key server.key -out server.csr 
# generate certificate  --->server.crt 
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
小插曲:用CA根證書簽名時報錯,The mandatory stateOrProvinceName field was missing

1、問題描述:
sudo openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
The mandatory stateOrProvinceName field was missing
2、出現原因:openssl.cnf中CA policy有三個match,必須要填一樣的,或者改成optional
3、解決方法:修改配置文件,修改後為:

# For the CA policy
[ policy_match ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

D:證書的簡單使用。

把server.crt以及server.key保存在服務器端等待程序加載使用;把ca.key保存在客戶端,如果客戶端需要驗證服務器端發的證書時使用。

https學習筆記三----OpenSSL生成root CA及簽發證書

相關推薦

https學習筆記----OpenSSL生成root CA簽發證書

open spa centos7 cisc div encrypt 自簽證書 oca led 在https學習筆記二,已經弄清了數字證書的概念,組成和在https連接過程中,客戶端是如何驗證服務器端的證書的。這一章,主要介紹下如何使用openssl庫來創建

OpenSSL 自建CA簽發證書

利用 OpenSSL 建立 CA 及自行簽發證書。 1. 建立CA目錄結構 在CA的配置檔案中,有說明預設CA的目錄。 建立預設CA下的目錄及檔案如下圖(.old檔案和.attr檔案是簽發證書後自動生成的檔案)。 其中, newcert

GIS案例學習筆記-生成和可視化表達

數字 .com 操作 ext p s 學習筆記 round src 邊界 GIS案例學習筆記-三維生成和可視化表達 聯系方式:謝老師,135-4855-4328,xiexiaokui#qq.com 目的:針對柵格或者矢量數值型數據,進行三維可視化表達 操作時間:15分

AVFoundation學習筆記(): 媒體捕捉、讀取寫入

媒體捕捉 捕捉會話 媒體捕捉是AVFoundation的重點功能。其核心類是AVCaptureSession。用於連線輸入輸出的資源。捕捉會話有一個會話預設值,用於控制捕捉資料的格式和質量,預設為AVCaptureSessionPresentH

Android Studio 學習筆記():簡單控制元件例項

本文針對常用控制元件(Textview、Button、EditText、RadioButton、CheckBox、ImageView)進行簡單說明 控制元件、元件、外掛概念區分 說到控制元件,就不得不區分一些概念。 控制元件(Control):程式設計中用到的部件 元件(Component):軟體的組成部分

ArcGIS案例學習筆記2_2_等高線生成DEM和維景觀動畫

筆記 9.png 老師 基本 tex back 工具 學習筆記 工具箱 ArcGIS案例學習筆記2_2_等高線生成DEM和三維景觀動畫 計劃時間:第二天下午 教程:Pdf/405 數據:ch9/ex3 方法: 1. 創建DEM SA工具箱/插值分析/

學習筆記openssl、檔案加密、CA證書的建立

1.openssl 的基礎知識     首先openssl的英文是Secure Sockets Laye。安全套接層協議。可以在Internet上提供祕密性傳輸。 SSL能使使用者/伺服器應用之間的通訊不被攻擊者竊聽,並且始終對伺服器進行認證,還可選擇

Linux學習筆記():系統執行級與執行級的切換

查看 用戶操作 回車 water hat ntsysv tde 文件表 config 1.Linux系統與其它的操作系統不同,它設有執行級別。該執行級指定操作系統所處的狀態。Linux系統在不論什麽時候都執行於某個執行級上,且在不同的執行級上執行的程序和服務都不同,所要

【Unity 3D】學習筆記十:遊戲元素——遊戲地形

nbsp 3d遊戲 strong 直觀 分辨率 == 摩擦力 fill 世界 遊戲地形 在遊戲的世界中,必然會有非常多豐富多彩的遊戲元素融合當中。它們種類繁多。作用也不大同樣。一般對於遊戲元素可分為兩種:經經常使用。不經經常使用。經常使用的元素是遊戲中比較重要的元素。一

MYSQL學習筆記:日期和時間函數

div content minute name top fonts table hmm 指定 MYSQL學習筆記三:日期和時間函數 1. 獲取當前日期的函數和獲取當前時間的函數 /*獲取當前日期的函數和獲取當前時間的函數。將日期以‘YYYY-MM-DD‘或者’YYYYM

Hadoop權威指南學習筆記

支持 第三方 handle line src factory 模式 多個 重要 HDFS簡單介紹 聲明:本文是本人基於Hadoop權威指南學習的一些個人理解和筆記,僅供學習參考。有什麽不到之處還望指出,一起學習一起進步。 轉載請註明:http://blog.cs

NLTK學習筆記():NLTK的一些工具

ast 關註 code 值範圍 通過 自動 ive 叠代器 emma 主要總結一下簡單的工具:條件頻率分布、正則表達式、詞幹提取器和歸並器。 條件分布頻率 《自然語言學習》很多地方都用到了條件分布頻率,nltk提供了兩種常用的接口:FreqDist 和 Condit

Tomcat學習筆記()

containe 請求 container connect 技術 http 簡單 img 容器 Tomcat連接器 tomcat連接器是tomcat的一個核心組件,在tomcat4中的實現原理如下 1.實現Connector接口 2.創建Reques

mybatis學習筆記()-- 優化數據庫連接配置

bsp pro 新建 數據 配置信息 onf ron XML oca 原來直接把數據庫連接配置信息寫在conf.xml配置中,如下 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE configura

Odoo10學習筆記:模型(結構化的應用數據)、視圖(用戶界面設計)

其他 描述 用戶界面 列表 支持 字段 界面設計 允許 學習 一:模型 1:創建模型 模型屬性:模型類可以使用一些屬性來控制它們的一些行為: _name :創建odoo模型的內部標識符,必含項。 _description :當用戶界面顯示模型時,一個方便用戶的模型記錄標題。

tensorflow學習筆記():實現自編碼器

sea start ear var logs cos soft 編碼 red 黃文堅的tensorflow實戰一書中的第四章,講述了tensorflow實現多層感知機。Hiton早年提出過自編碼器的非監督學習算法,書中的代碼給出了一個隱藏層的神經網絡,本人擴展到了多層,改進

CSS學習筆記:自定義單選框,復選框,開關

sla checked 移動 transform 第一個 16px 位移 block back 一點一點學習CCS,這次學習了如何自定義單選框,復選框以及開關。 一、單選框 1、先寫好body裏面的樣式,先寫幾個框 1 <body> 2 <d

git 學習筆記 (windows環境)

clas 環境 check pre div nbsp windows name cnblogs 分支管理 查看分支 git branch 創建dev分支 git branch <name> 切換到dev分支 git checkout <name&

遊戲開發學習筆記

nor scrip 筆記 nsrunloop posit ppr 遊戲開發 tor http sdk%E6%9B%B4%E6%96%B0%E4%B8%8D%E6%88%90%E5%8A%9F%E6%B1%82%E5%A4%A7%E7%A5%9E%E5%B8%AE%E5%BF

HttpsOpenSSL自建CA證書簽發證書、nginx單向認證、雙向認證使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/