openssl创建私有ca
1.ssl大概内容
PKI:公钥基础设施结构
CA:证书权威机构,PKI的核心
CRL:证书吊销列表,使用证书之前需要检测证书有效性
证书存储格式常见的X509格式
包含内容
公钥有效期限
证书的合法拥有人
证书该如何使用
CA的信息
CA签名的校验码(签名)
ssl:是在传输层和应用层之间的一个库,通过调用ssl实现加密
目前常用版本:V2 V3版
客户端和服务端通信
客户端请求服务端
客户端和服务端协商使用加密协议,加密算法 SSLv1 SSLv2 TLSv3
服务端发送证书给客户端
客户端生成随机数,通过服务端公钥加密后,传输数据(对称密码)给服务端
服务端将对称密码加密数据给客户端
2.常见的加密算法
对称加密
DES 3DES
AES AES192 AES 256 AES512
单向加密
md4 md5
SHA1 SHA192 SHA256 SHA384
CRC-32
公钥加密
身份认证
数据加密
密钥交换
RSA算法 可以用来加密也可用来签名
DSA算法 只可以用来签名
3.openssl命令
speed 测试本机对各种加密算法的速度
openssl speed rsa 可以接算法表示测试单个算法的速度
enc -des 指定加密算法,对称加密算法
-a 对文件内容进行base64处理
-e 加密 默认选项
-d 解密
-salt 加盐加密
-in 指定要加密的文件
-out 加密后输出文件
dgst -md5 计算文件特征码
genrsa 生成rsa密钥
gendsa 生成dsa密钥
加密 openssl enc -des3 -salt -a -in /etc/fstab -out fstab.des3
解密 openssl enc -des3 -d -salt -a in fstab.des3 -out fstab
4.openssl创建私有CA步骤:
1、生成一对密钥
2、生成自签证书
生成一对密钥:
(umask 077; openssl genrsa -out cakey.pem 1024 )
()中的命令只在子shell中生效,命令执行完之后退出子shell
umask:改变默认创建的文件和目录权限,077为反码
genrsa:生成密钥,权限为600,长度为1024位的私钥
存放在cakey.pem文件中
生成自签证书:
openssl req -new -x509 -key cakey.pem -out cacert.pem -days 365 //生成私有证书
req //生成证书,和申请证书的命令
-new //代表生成一个新的申请
-x509 //生成自签证书
-key //指定密钥文件
-out //指定输出证书文件
-days //指定过期时间
交互式界面:
1、国家代码(CN,JB...)
2、省份 3、市 4、组织
5、部门 6、主机名 7、邮箱地址
在/etc/pki/CA目录下创建必要certs , newcerts,crl目录,和index.txt,serial文件
需要给serial文件一个初始值,一般为01,需要自己编辑
/ect/pki/CA/private/cakey.pem //存放CA自己的密钥文件,命名为cakey.pem
/ect/pki/CA/cacert.pem //自签证书存放位置
5、验证
客户机:
(umask 077; openssl genrsa -out httpd.key 2048)
openssl req -new -key httpd.key -out httpd.csr
服务器:
客户机将httpd.csr上传CA服务器
openssl ca -in httpd.csr -out httpd.crt -days 365
将签署的证书发送改客户机