OpenSSL自建CA和CA链，给主机签发证书的批处理（使用CA命令）

在学习OpenSSL的过程中经常需要建立CA，再用此CA给用户签发证书，这个过程总是反复进行，让人不胜其烦，所以写下了这个批处理把以上过程自动化。

把openssl.exe所在文件夹加入PATH环境变量，就可以在任何位置执行批处理（不建议安装于C盘，因为在生成文件的过程中可能会遇到的权限问题），本实验OpenSSL版本号为Windows版1.1.1c  28 May 2019。

有两个命令可以用CA的身份给客户签发证书：CA命令和x509命令，将分为两篇文档分别介绍；对于每个命令又细分为CA根证书签发和证书链签发两个部分，都给出了执行代码，可以将其复制，然后粘贴到Windows命令行窗口执行（倒数第一行代码的最后要有回车），或者也可保存为批处理。

需要注意的是，批处理会在D盘根目录创建rca、ca1、ca2、ca3、host1、host2这几个目录，为了保证干净的实验环境，每次执行批处理都会先删除它们然后重建，所以不要在这些目录里保存重要资料。切记！

用ca命令签发证书

实验场景：先建立根CA，再由根CA签发主机HOST1和HOST2的证书

实验准备：用ca命令签署证书会用到配置文件，默认是C:\Program Files\Common Files\SSL\openssl.cnf（可以通过环境变量 openssl_conf来指定），该文件有三个“节”（section，由中括号圈定）需要特别注意，如果你的取值与此不同请修改，因为代码是按照这些取值设计的，#后面的是注释，不必填入配置文件。

[ CA_default ]

            dir    = ./demoCA    # 顶层目录，保存一切的起点

            database  = $dir/index.txt    # 索引数据库文件名及所在目录

            new_certs_dir = $dir/newcerts    # 存放新证书的目录

            ertificate  = $dir/cacert.pem     # CA证书文件名及所在目录

            private_key  = $dir/private/cakey.pem    # CA私钥文件名及所在目录

            serial   = $dir/serial    # 已签发证书的序列号(16进制)所在目录

            [ policy_match ]

            countryName   = optional    # 国家

            stateOrProvinceName = optional    # 省

            organizationName  = optional    # 组织名称

            organizationalUnitName = optional    #组织单位名称

            commonName   = supplied    # FQDN

            emailAddress   = optional    #电子邮件

            [ v3_ca ]

   basicConstraints = critical,CA:true

经过以上准备就可以创建CA并给其它用户签名了，批处理会在D盘根目录下建立三个目录：RCA，HOST1和HOST2，其中CA目录结构如下：

cacert.pem是CA的根证书，index.txt是数据库，记录了曾经签署和吊销过的证书的历史记录；serial是为下一个证书准备的序列号文件（本例初始序列号置为01），每次签署之后该序列号都会加一；cakey.pem是CA的私钥，输出的新证书在private里留有备份，其主文件名是序列号。

此外，RCA目录下还有CA的根证书、私钥、公钥，以及给用户签发的所有证书的备份。

HOST1/HOST2目录分别存放了六个文件：HOST1/HOST2的证书、私钥、公钥，请求文件，以及CA根证书和CA的公钥。

根CA直接签发证书

根CA：RCA

echo 删除之前所有的文件
d:&cd\&rd/s/q host1&rd/s/q host2&rd/s/q rca&md host1&md host2&md rca&cd rca&md democa&md democa\newcerts&md democa\private

echo 生成自签名的根证书，私钥和公钥：
openssl req -x509 -newkey rsa:8192 -keyout rca.key -out rca.cer -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=RCA/emailAddress=ca@tiger.com -passout pass:abcd
openssl rsa -in rca.key -pubout -out rca.pub -passin pass:abcd

echo 把RCA的证书和公钥拷贝到HOST1和HOST2
copy rca.cer d:\host1&copy rca.pub d:\host1&copy rca.cer d:\host2&copy rca.pub d:\host2
echo 把rca的证书和私钥拷贝到配置文件要求的目录，并建立数据库文件和序列号文件，以便给用户签发证书
copy rca.cer democa\cacert.pem&copy rca.key democa\private\cakey.pem&cd.>democa\index.txt&echo 01>democa\serial

echo 生成HOST1与HOST2的证书请求和私钥
openssl req -newkey rsa:8192 -keyout host1.key -out host1.csr -subj /C=CN/ST=guangdong/L=shenzhen/O=SUN/OU=SUN-A/CN=host1 -passout pass:abcd
openssl req -newkey rsa:8192 -keyout host2.key -out host2.csr -subj /C=CN/O=Tiger/ST=jiangsu/CN=host2 -passout pass:abcd

echo 用RCA的私钥签署用户请求
openssl ca -batch -notext -in host1.csr -out host1.cer -passin pass:abcd
openssl ca -batch -notext -in host2.csr -out host2.cer -passin pass:abcd
openssl rsa -in host1.key -pubout -out host1.pub -passin pass:abcd
openssl rsa -in host2.key -pubout -out host2.pub -passin pass:abcd
copy host1.* d:\host1&copy host2.* d:\host2

echo 验证证书链
openssl verify -CAfile rca.cer host1.cer
openssl verify -CAfile rca.cer host2.cer

二级CA签发证书

根CA：CA1

中间CA：CA2

CA2签发主机HOST1和HOST2的证书。

批处理在D盘根目录下建立目录CA1、CA2、HOST1、HOST2，各目录存放的文件顾名思义，其中CA2保留所签发的所有证书的备份。

echo 删除之前所有的文件
d:&cd\&rd/s/q host1&rd/s/q host2&rd/s/q ca1&rd/s/q ca2&md host1&md host2&md ca1&md ca2&cd ca1&md democa&md democa\newcerts&md democa\private&cd\ca2&md democa&md democa\newcerts&md democa\private&cd\ca1

echo 生成自签名的CA1根证书，私钥和公钥：
openssl req -x509 -newkey rsa:8192 -keyout ca1.key -out ca1.cer -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=CA1/emailAddress=ca1@tiger.com -passout pass:abcd
openssl rsa -in ca1.key -pubout -out ca1.pub -passin pass:abcd

echo 把CA1的证书和公钥拷贝到HOST1和HOST2
copy ca1.cer d:\host1&copy ca1.pub d:\host1&copy ca1.cer d:\host2&copy ca1.pub d:\host2

echo 把CA1的证书和私钥拷贝到配置文件指定的目录，并建立数据库文件和序列号文件，以便给CA2签发证书
copy ca1.cer democa\cacert.pem&copy ca1.key democa\private\cakey.pem&cd.>democa\index.txt&echo 01>democa\serial

echo 生成CA2的请求，私钥和公钥
openssl req -newkey rsa:8192 -keyout ca2.key -out ca2.csr -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=CA2/emailAddress=ca2@tiger.com -passout pass:abcd
openssl rsa -in ca2.key -pubout -out ca2.pub -passin pass:abcd

echo 用CA1的私钥签署CA2的请求
openssl ca -extensions v3_ca -batch -notext -in ca2.csr -out ca2.cer -passin pass:abcd

echo把CA2的证书和公钥拷贝到HOST1和HOST2
copy ca2.cer d:\host1&copy ca2.pub d:\host1&copy ca2.cer d:\host2&copy ca2.pub d:\host2

echo 把属于CA2的所有文件拷贝到CA2目录，同时把CA2的证书和私钥拷贝到配置文件指出的目录，以便用CA2的私钥给用户签发证书
copy ca2.* \ca2&copy ca2.cer \ca2\democa\cacert.pem&copy ca2.key \ca2\democa\private\cakey.pem&cd\ca2&cd.>democa\index.txt&echo 01>democa\serial&copy \ca1\ca1.cer&copy \ca1\ca1.pub

echo 生成HOST1与HOST2的证书请求和私钥
openssl req -newkey rsa:8192 -keyout host1.key -out host1.csr -subj /C=CN/ST=guangdong/L=shenzhen/O=SUN/OU=SUN-A/CN=host1 -passout pass:abcd
openssl req -newkey rsa:8192 -keyout host2.key -out host2.csr -subj /C=CN/O=Tiger/ST=jiangsu/CN=host2 -passout pass:abcd

echo 用CA2的私钥签发用户证书：
openssl ca -batch -notext -in host1.csr -out host1.cer -passin pass:abcd
openssl ca -batch -notext -in host2.csr -out host2.cer -passin pass:abcd
openssl rsa -in host1.key -pubout -out host1.pub -passin pass:abcd
openssl rsa -in host2.key -pubout -out host2.pub -passin pass:abcd

echo 把HOST1和HOST2的所有文件拷贝到对应目录
copy host1.* d:\host1&copy host2.* d:\host2

echo 验证证书链
copy ca2.cer+ca1.cer ca-chain.cer
openssl verify -CAfile ca-chain.cer host1.cer
openssl verify -CAfile ca-chain.cer host2.cer

三级CA签发证书

根CA：CA1

中间CA：CA2和CA3

CA3给HOST1和HOST2签发证书。

批处理在D盘根目录下建立目录CA1、CA2、CA3、HOST1、HOST2，各目录存放的文件顾名思义，其中CA3保留所签发的所有证书的备份。

echo 删除之前所有的文件
d:&cd\&rd/s/q host1&rd/s/q host2&rd/s/q ca1&rd/s/q ca2&rd/s/q ca3&md host1&md host2&md ca1&md ca2&md ca3&cd ca1&md democa&md democa\newcerts&md democa\private&cd\ca2&md democa&md democa\newcerts&md democa\private&cd \ca3&md democa&md democa\newcerts&md democa\private&cd\ca1
 
echo 生成自签名的CA1根证书，私钥和公钥：
openssl req -x509 -newkey rsa:8192 -keyout ca1.key -out ca1.cer -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=CA1/emailAddress=ca1@tiger.com -passout pass:abcd
openssl rsa -in ca1.key -pubout -out ca1.pub -passin pass:abcd
 
echo 把CA1的证书和公钥拷贝到HOST1和HOST2
copy ca1.cer d:\host1&copy ca1.pub d:\host1&copy ca1.cer d:\host2&copy ca1.pub d:\host2
 
echo 把CA1的证书和私钥拷贝到配置文件指出的目录，并建立数据库文件和序列号文件，以便给CA2签发证书
copy ca1.cer democa\cacert.pem&copy ca1.key democa\private\cakey.pem&cd.>democa\index.txt&echo 01>democa\serial
 
echo 生成CA2的请求，私钥和公钥
openssl req -newkey rsa:8192 -keyout ca2.key -out ca2.csr -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=CA2/emailAddress=ca2@tiger.com -passout pass:abcd
openssl rsa -in ca2.key -pubout -out ca2.pub -passin pass:abcd
 
echo 用CA1的私钥签署CA2的请求
openssl ca -extensions v3_ca -batch -notext -in ca2.csr -out ca2.cer -passin pass:abcd
 
echo 把CA2的证书和公钥拷贝到HOST1和HOST2
copy ca2.cer d:\host1&copy ca2.pub d:\host1&copy ca2.cer d:\host2&copy ca2.pub d:\host2
 
echo 把属于CA2的所有文件拷贝到CA2目录，同时把CA2的证书和私钥拷贝到配置文件指出的目录，以便用CA2的私钥给CA3签发证书
copy ca2.* \ca2&copy ca2.cer \ca2\democa\cacert.pem&copy ca2.key \ca2\democa\private\cakey.pem&cd\ca2&cd.>democa\index.txt&echo 01>democa\serial&copy \ca1\ca1.cer&copy \ca1\ca1.pub
 
echo 生成CA3的请求，私钥和公钥
openssl req -newkey rsa:8192 -keyout ca3.key -out ca3.csr -days 3650 -subj /C=CN/ST=jiangsu/L=nanjing/O=Tiger/OU=T-CA/CN=CA3/emailAddress=ca3@tiger.com -passout pass:abcd
openssl rsa -in ca3.key -pubout -out ca3.pub -passin pass:abcd
 
echo 用CA2的私钥签署CA3的请求
openssl ca -extensions v3_ca -batch -notext -in ca3.csr -out ca3.cer -passin pass:abcd
 
echo 把CA3的证书和公钥拷贝到HOST1和HOST2
copy ca3.cer d:\host1&copy ca3.pub d:\host1&copy ca3.cer d:\host2&copy ca3.pub d:\host2
 
echo 用把属于CA3的所有文件拷贝到CA3，同时把CA3的证书和私钥拷贝到配置文件指出的目录，以便用CA3的私钥给用户签发证书
copy ca3.* \ca3&copy ca3.cer \ca3\democa\cacert.pem&copy ca3.key \ca3\democa\private\cakey.pem&cd\ca3&cd.>democa\index.txt&echo 01>democa\serial&copy ca3.cer \ca1&copy ca3.pub \ca1&copy \ca1\ca1.cer&copy \ca1\ca1.pub&copy \ca2\ca2.cer&copy \ca2\ca2.pub
 
echo 生成HOST1与HOST2的证书请求和私钥
openssl req -newkey rsa:8192 -keyout host1.key -out host1.csr -subj /C=CN/ST=guangdong/L=shenzhen/O=SUN/OU=SUN-A/CN=host1 -passout pass:abcd
openssl req -newkey rsa:8192 -keyout host2.key -out host2.csr -subj /C=CN/O=Tiger/ST=jiangsu/CN=host2 -passout pass:abcd
 
echo 用CA3的私钥签署用户的请求
openssl ca  -batch -notext -in host1.csr -out host1.cer -passin pass:abcd
openssl ca  -batch -notext -in host2.csr -out host2.cer -passin pass:abcd
openssl rsa -in host1.key -pubout -out host1.pub -passin pass:abcd
openssl rsa -in host2.key -pubout -out host2.pub -passin pass:abcd
copy host1.* d:\host1&copy host2.* d:\host2
 
echo 验证证书链：
copy ca3.cer+ca2.cer+ca1.cer ca-chain.cer
openssl verify -CAfile ca-chain.cer host1.cer
openssl verify -CAfile ca-chain.cer host2.cer