Linux基于OpenSSL实现私有CA构建

书生 Linux干货, 系统运维

前言

随着互联网的迅猛发展,网络通信已经成为传递信息的主要途径。而通信时的数据传输大部分却是明文传输的,在网络这个不安全的环境下,如果没有一套数据加密机制,就会导致敏感信息和重要数据泄露,引起不可估量的损失。而OpenSSL正好弥补了这一缺憾,那什么是OpenSSL呢?OpenSSL是一套强大的具有加密功能的组件,它包含libcrypto(公共加密库)、libssl(SSL协议的实现)和openssl(多功能命令工具),因其开源思想,现已广泛应用于数据通信加密领域。OpenSSL还可在局域网内构建私有CA,实现局域网内的证书认证和授权,保证数据传输的安全性。如何构建私有CA呢?本文将详细讲述基于OpenSSL实现私有CA构建。

数据加密解密过程

数据加密需要实现的功能:数据私密性,数据完整性,身份认证和秘钥交换。

1.jpg

加密类型及功能:
单向加密:提取数据特征码,实现数据完整性验证
对称加密:数据加密,实现数据私密性
公钥加密:使用对方公钥加密,实现秘钥交换
          使用自己私钥加密,实现身份验证

公钥在网络传输过程中,无法保证可信度,容易被窃取或伪装,所以我们就需要一个受信任的第三方机构(CA)

CA工作流程

2.jpg

#A和B各自用CA的公钥解密对方证书,完成身份验证

由于CA支持在互联网上价格不菲,所以在企业内,不牵涉外网通信前提下,完全自行构建一个局域网内的私有CA.

实现CA构建

OpenSSL可以构建适用于中小型企业的私有CA,如果需要在大型企业构建CA可以用OpenCA,有兴趣可以自行Google,这里就不做详解了,因为OpenSSL足以满足大多数需求。

建立CA服务器

生成秘钥

3.jpg

命令详解:
umask 077:保证秘钥文件其他人无读写权限,在()内执行,只对当前子shell有效
-out /path/to/somefile:指定生成秘钥位置   
2048:秘钥长度,可自定义
#openssl rsa -in private/cakey.pem -pubout -text  可提取公钥

自签证书

4.jpg

命令详解:
req: 生成证书签署请求
     -news: 新请求
     -key /path/to/keyfile: 指定私钥文件
     -out /path/to/somefile: 指定生成证书位置
     -x509: 生成自签署证书
     -days n: 有效天数
     
#Country Name (2 letter code) [XX]:CN                          #国家(大写缩写)
#State or Province Name (full name) []:Shandong                #省份或洲
#Locality Name (eg, city) [Default City]:Qingdao               #城市
#Organization Name (eg, company) [Default Company Ltd]:Scholar #公司
#Organizational Unit Name (eg, section) []:Tech                #部门
#Common Name (eg, your name or your server's hostname) []:ca.scholar.com
#必须与证书所有者能解析到的名字保持一致,否则将无法通过验证
#Email Address []:ca@scholar.com                               #邮箱
#以上操作默认选项可通过修改配置文件(/etc/pki/tls/openssl.cnf)修改

初始化工作环境

5.jpg

命令详解:
index.txt:证书缩影数据库
serial:签署证书编号文件
echo 01 > serial #设定编号初始值

客户端申请证书

生成密钥

#我们给web服务生成请求用于https,在其配置文件目录创建用于保存私钥和证书的目录

6.jpg

生成证书签署请求

7.jpg

#A challenge password []:   #证书请求需要加密存放,如果添加密码,需要将密码一同给CA
#An optional company name []:

将签署请求文件发送给CA服务器

#CA服务器工作目录下,手动创建了一个存放证书请求的目录(存放目录请随意)

8.jpg

 CA签署证书

9.jpg

将签署的证书发送给请求者

10.jpg

这样客户端就可以配置使用CA签署的证书,进行加密通信了。如果客户端的私钥不慎丢失,或者证书过期了该怎么办呢?接下来我们看一下证书怎么吊销吧。

证书吊销

客户端获取证书serial

11.jpg

CA验证信息

根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致

12.jpg

CA吊销证书

13.jpg

CA生成吊销证书编号(第一次吊销)

14.jpg

CA更新证书吊销列表

15.jpg

#如果有需要,可查看crl文件的内容
#openssl crl -in /path/to/crlfile.crl -noout -text

好了,证书成功吊销,可以重新申请了。

The end

以上便是基于OpenSSL构建私有CA的步骤了,实际效果请自行测试,这里我就不做解析测试了。仅为个人学习整理,如有错漏,大神勿喷~~~

原创文章,作者:书生,如若转载,请注明出处:http://www.178linux.com/2704

(0)
书生书生
2
上一篇 2015-04-13
下一篇 2015-04-13

相关推荐

  • N25第7周作业

    1、创建一个10G分区,并格式为ext4文件系统;   (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl;    (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动运行,且不更新文件的访问时间戳; ]# fdisk /dev/sdb #划出一个…

    Linux干货 2017-02-21

  • 在CentOS 6上编译安装LAMP

    在CentOS 6上编译安装LAMP     在生产中如果需要使用较新的服务,而系统提供的rpm包又较老时该怎么办呢?其实应用程序的安装方式有多种,如:使用系统发行商提供rpm包或者下载源码包手动编译安装也是可以的。今天我们编译的服务不是一个单独的而是一套。这套黄金搭档从诞生之初到现在已经经过无数用户的验证,各大电商站点、门户网站、以及各…

    Linux干货 2017-04-23

  • 设定Linux自动登陆

    设定Linux自动登陆 在实验场景中我们可能会经常重新启动Linux,然后反复输入账户密码登陆。为了在每次启动后快速进入系统减少在实验场景中不必要的工作,我们可以设定Linux在启动后自动登陆到指定账户(实验中一般为root账户)。基于Linux一切皆文件的思想,我们可以通过修改配置文本的方式决定是否启用自动登录,以及自动登录的账户是普通用户账户还是root…

    Linux干货 2017-07-15
  • 路由器解析路由表 Linux干货

    路由器解析路由表

    1.定义——>选择最佳路径;他只完成发送到下一个路径上就结束,任务到达就撤了(就像快递员一样,当他将物件发往到下一个目的地,那他的任务就结束了)2.分类:主机路由、网络路由、默认路由3.每个路由记录由四项主要组成部分目标地址:主机IP、网络ID号、未知地址(0.0.0.0)子网掩码接口interface:从哪个口发往目标地址 网…

    2017-09-05

  • iptables 初识

    iptables 包过滤性防火墙     iptables是位于用户空间,是防火墙管理配置规则的工具。     iptables的作用:用来添加,删除,管理netfilter规则。     Netfilter是位于内核中真正的防火墙,由5个钩子组成,…

    Linux干货 2016-06-01

  • Linux 基础知识(六.一)

    一、模式及模式间的切换 (一)模式介绍 1、vim文本编辑器提供了三种基本模式,分别是编辑模式(命令模式)、输入模式以及末行模式(命令行模式) (二)模式间的切换 二、基础操作 (一)单文件的打开与关闭 1、单文件的打开:vim [options]… /path/to/somefile 2、单文件打开时的常用选项: (1)+#:表示当文件打开时,…

    Linux干货 2016-11-14

评论列表(2条)

  • 瓶云
    瓶云 2015-06-17 06:29

    书生,你这个图画的很溜啊 :smile:

    • 书生
      书生 2015-06-20 12:32

      @瓶云:mrgreen: :mrgreen: :mrgreen:

电话咨询
在线咨询