使用Openssl进行PKI实践(含多级证书详细步骤)
2014-04-02 00:00
567 查看
Openssl是Linux下的基础安全工具
先简要介绍一些基础知识:
Openssl功能主要有:对称加密(DES、3DES、AES等),非对称加密(RSA),散列(MD5、SHA1等)以及证书的相关操作(创建、申请、颁发、吊销等)
PKI体系成为公钥加密体系,组成部分包括:认证中心、注册中心、证书库、证书废止列表。
Openssl常用证书格式:X509、PKCS7、PKCS12。
证书文件常用存储格式:PEM(BASE64)、PFX或P12(二进制)
本文主要实践点:
1、根CA相关操作(私钥生成、生成自认证证书)
2、用户证书相关操作(私钥生成、生成证书签发请求文件、根CA同意请求签发该证书)
3、次级CA证书相关操作(从根CA得到次级CA证书和次级CA私钥之后,再给下属用户签发证书)
实验环境:
RHEL 6.3(KVM虚拟机) rootca.testlibq.com
RHEL 6.3(KVM虚拟机) apache.testlibq.com(以APACHE服务器为次级CA)
Windows XP(KVM虚拟机) xp.testlibq.com(以展示证书)
实验步骤:
1、生成根CA证书
登录到ROOTCA机器
cd /etc/pki/CA/private
openssl genrsa -des3 -out rootca.key 1024
#生成ROOTCA私钥,rootca.key格式为PEM
[设置rootca私钥密码,例如输入rootca]
touch /etc/pki/CA/index.txt #创建证书数据库文件
echo "01" > /etc/pki/CA/serial #创建证书序号文件
openssl req -new -x509 -key rootca.key -out /etc/pki/CA/rootca.crt
#生成ROOTCA证书(类型为X509),rootca.crt格式为PEM
[输入rootca私钥密码:rootca]
[填入一堆证书信息]
由于/etc/pki/tls/openssl.cnf中设置了CA的私钥和证书路径,所以这里使用软链接。
ln -s /etc/pki/CA/private/rootca.key /etc/pki/CA/private/cakey.pem
ln -s /etc/pki/CA/rootca.crt /etc/pki/CA/cacert.pem
这样,CA便设置好了。
查看证书和私钥可以用以下命令:
openssl rsa -in /etc/pki/CA/private/rootca.key -text -noout
openssl x509 -in /etc/pki/CA/rootca.crt -text -noout
2、用户证书的相关操作
PS:
用户证书可以在用户端生成私钥和请求文件,然后传递至CA,由CA签发后,发给用户。
也可以由根CA生成用户私钥和请求文件,然后签发后把私钥和证书发给用户。
这里演示后者。
登录到rootca机器(接实验1)
cd /etc/pki/CA/private
openssl genrsa -des3 -out a.key 1024 #生成用户私钥
[set password of a.key]
openssl req -new -key a.key -out a.csr #生成用户请求文件
[input password of a.key]
[输入一堆证书信息]
openssl ca -in a.csr
[y,y]
生成证书位于/etc/pki/CA/newcerts/01.pem
PS:
该证书类型为X509,若需要PKCS12类型证书,请使用
openssl pkcs12 -export -in /etc/pki/CA/newcerts/01.pem -inkey /etc/pki/CA/private/a.key -out a.pfx[输入私钥密码][设置传输密码]
3、生成证书链
此节内容网上文章较少,我研究了好久才搞出来。
首先上面两个实验是连着做的,第三个实验请把上面的环境清除。
登录到ROOTCA
cd /etc/pki/CA/private
touch ../index.txt
echo "01" > ../serial
openssl genrsa -des3 -out rootca.key 1024
ln -s rootca.key cakey.pem
openssl req -new -x509 -key rootca.key -out /etc/pki/CA/rootca.crt -extensions v3_ca
ln -s /etc/pki/CA/rootca.crt /etc/pki/CA/cacert.pem
这里查看一下rootca证书:
openssl x509 -in /etc/pki/CA/rootca.crt -text -noout
确定extensions中,有basicConstraint CA:TRUE,那么代表正确。
PS:basicConstraint称为基础约束,若有CA:TRUE,证明该证书具有CA效力。(所以上述实验1、2中并不严谨,这点在需要证书链的场合尤为重要)
cd /etc/pki/CA/private
openssl genrsa -des3 -out apache.key 1024
openssl req -new -key /etc/pki/CA/private/apache.key -out apache.csr
openssl ca -in apache.csr -out apache.crt -extensions v3_ca
PS:这个extensions至关重要,关系到apache这个证书有没有资格再颁发证书给用户。
登录到apache主机
ln -s /etc/pki/CA/private/apache.key /etc/pki/CA/private/cakey.pem
ln -s /etc/pki/CA/apache.crt /etc/pki/CA/cacert.pem
下面制作用户证书
cd /etc/pki/CA
touch index.txt
echo "01" > serial
openssl genrsa -des3 -out private/user1.key 1024 [user1]
openssl req -new -key private/user1.key -out private/user1.csr[user1][一堆证书信息]
openssl ca -in private/user1.csr -extensions usr_cert[y,y]
PS:这里-extensions usr_cert不必要。
制作证书链
将rootca的证书和apache的证书整合到一个文件
cd /etc/pki/CA/certs
cp /etc/pki/CA/apache.crt chain.pem
cat rootca.crt >> chain.pem
验证证书链
openssl verify -CAfile /etc/pki/CA/certs/chain.crt /etc/pki/CA/newcerts/01.pem
(若显示Verify OK,表示验证证书链成功)
转换用户证书为PKCS12
openssl pkcs12 -export -in /etc/pki/CA/newcerts/01.pem -inkey /etc/pki/CA/private/user1.key -out /etc/pki/CA/private/user1.pfx -chain -CAfile /etc/pki/CA/certs/chain.crt
最后将user1.pfx复制到Windows中,导入证书,便于展示。
结果如图:
先简要介绍一些基础知识:
Openssl功能主要有:对称加密(DES、3DES、AES等),非对称加密(RSA),散列(MD5、SHA1等)以及证书的相关操作(创建、申请、颁发、吊销等)
PKI体系成为公钥加密体系,组成部分包括:认证中心、注册中心、证书库、证书废止列表。
Openssl常用证书格式:X509、PKCS7、PKCS12。
证书文件常用存储格式:PEM(BASE64)、PFX或P12(二进制)
本文主要实践点:
1、根CA相关操作(私钥生成、生成自认证证书)
2、用户证书相关操作(私钥生成、生成证书签发请求文件、根CA同意请求签发该证书)
3、次级CA证书相关操作(从根CA得到次级CA证书和次级CA私钥之后,再给下属用户签发证书)
实验环境:
RHEL 6.3(KVM虚拟机) rootca.testlibq.com
RHEL 6.3(KVM虚拟机) apache.testlibq.com(以APACHE服务器为次级CA)
Windows XP(KVM虚拟机) xp.testlibq.com(以展示证书)
实验步骤:
1、生成根CA证书
登录到ROOTCA机器
cd /etc/pki/CA/private
openssl genrsa -des3 -out rootca.key 1024
#生成ROOTCA私钥,rootca.key格式为PEM
[设置rootca私钥密码,例如输入rootca]
touch /etc/pki/CA/index.txt #创建证书数据库文件
echo "01" > /etc/pki/CA/serial #创建证书序号文件
openssl req -new -x509 -key rootca.key -out /etc/pki/CA/rootca.crt
#生成ROOTCA证书(类型为X509),rootca.crt格式为PEM
[输入rootca私钥密码:rootca]
[填入一堆证书信息]
由于/etc/pki/tls/openssl.cnf中设置了CA的私钥和证书路径,所以这里使用软链接。
ln -s /etc/pki/CA/private/rootca.key /etc/pki/CA/private/cakey.pem
ln -s /etc/pki/CA/rootca.crt /etc/pki/CA/cacert.pem
这样,CA便设置好了。
查看证书和私钥可以用以下命令:
openssl rsa -in /etc/pki/CA/private/rootca.key -text -noout
openssl x509 -in /etc/pki/CA/rootca.crt -text -noout
2、用户证书的相关操作
PS:
用户证书可以在用户端生成私钥和请求文件,然后传递至CA,由CA签发后,发给用户。
也可以由根CA生成用户私钥和请求文件,然后签发后把私钥和证书发给用户。
这里演示后者。
登录到rootca机器(接实验1)
cd /etc/pki/CA/private
openssl genrsa -des3 -out a.key 1024 #生成用户私钥
[set password of a.key]
openssl req -new -key a.key -out a.csr #生成用户请求文件
[input password of a.key]
[输入一堆证书信息]
openssl ca -in a.csr
[y,y]
生成证书位于/etc/pki/CA/newcerts/01.pem
PS:
该证书类型为X509,若需要PKCS12类型证书,请使用
openssl pkcs12 -export -in /etc/pki/CA/newcerts/01.pem -inkey /etc/pki/CA/private/a.key -out a.pfx[输入私钥密码][设置传输密码]
3、生成证书链
此节内容网上文章较少,我研究了好久才搞出来。
首先上面两个实验是连着做的,第三个实验请把上面的环境清除。
登录到ROOTCA
cd /etc/pki/CA/private
touch ../index.txt
echo "01" > ../serial
openssl genrsa -des3 -out rootca.key 1024
ln -s rootca.key cakey.pem
openssl req -new -x509 -key rootca.key -out /etc/pki/CA/rootca.crt -extensions v3_ca
ln -s /etc/pki/CA/rootca.crt /etc/pki/CA/cacert.pem
这里查看一下rootca证书:
openssl x509 -in /etc/pki/CA/rootca.crt -text -noout
确定extensions中,有basicConstraint CA:TRUE,那么代表正确。
PS:basicConstraint称为基础约束,若有CA:TRUE,证明该证书具有CA效力。(所以上述实验1、2中并不严谨,这点在需要证书链的场合尤为重要)
cd /etc/pki/CA/private
openssl genrsa -des3 -out apache.key 1024
openssl req -new -key /etc/pki/CA/private/apache.key -out apache.csr
openssl ca -in apache.csr -out apache.crt -extensions v3_ca
PS:这个extensions至关重要,关系到apache这个证书有没有资格再颁发证书给用户。
登录到apache主机
ln -s /etc/pki/CA/private/apache.key /etc/pki/CA/private/cakey.pem
ln -s /etc/pki/CA/apache.crt /etc/pki/CA/cacert.pem
下面制作用户证书
cd /etc/pki/CA
touch index.txt
echo "01" > serial
openssl genrsa -des3 -out private/user1.key 1024 [user1]
openssl req -new -key private/user1.key -out private/user1.csr[user1][一堆证书信息]
openssl ca -in private/user1.csr -extensions usr_cert[y,y]
PS:这里-extensions usr_cert不必要。
制作证书链
将rootca的证书和apache的证书整合到一个文件
cd /etc/pki/CA/certs
cp /etc/pki/CA/apache.crt chain.pem
cat rootca.crt >> chain.pem
验证证书链
openssl verify -CAfile /etc/pki/CA/certs/chain.crt /etc/pki/CA/newcerts/01.pem
(若显示Verify OK,表示验证证书链成功)
转换用户证书为PKCS12
openssl pkcs12 -export -in /etc/pki/CA/newcerts/01.pem -inkey /etc/pki/CA/private/user1.key -out /etc/pki/CA/private/user1.pfx -chain -CAfile /etc/pki/CA/certs/chain.crt
最后将user1.pfx复制到Windows中,导入证书,便于展示。
结果如图:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用Openssl进行PKI实践(含多级证书详细步骤)
- OpenSSL学习之使用个人信息数字证书(PFX)进行签名和验证
- iis 6/7/7.5/8/8.5 版本中使用openssl自签名证书的步骤
- 数字证书、CA及PKI,openssl使用
- OpenSSL学习之使用个人信息数字证书(PFX)进行签名和验证
- 使用python+机器学习方法进行情感分析(详细步骤)
- linux下利用openssl来实现证书的颁发(详细步骤)
- 使用openssl进行证书格式转换
- OpenSSL学习之使用个人信息数字证书(PFX)进行签名和验证
- Mosquito使用SSL/TLS进行安全通信时的使用方法 ------生成和发布证书openssl
- iOS中使用Openssl X509证书进行字符串签名和验签
- 使用openssl进行证书格式转换
- 使用证书对数据进行签名、验签、加密、解密以及openssl的常用方法
- 使用python+机器学习方法进行情感分析(详细步骤)
- Mosquito使用SSL/TLS进行安全通信时的使用方法 ------生成和发布证书openssl
- 使用openssl进行证书格式转换
- PKI架构的简介,如何使用OPENSSL完成加密与解密,如何自建CA完成证书的签署。
- linux下利用openssl来实现证书的颁发(详细步骤)
- 使用openssl进行证书格式转换
- 使用 openssl 生成证书