linux下创建CA以及颁发证书

一、创建私有CA：

使用工具openssl模拟创建CA

Openssl程序包分解:

Openssl由三部分组成：加密库libcrypt、服务器端实现ssl功能会话的库、命令行工具

Openssl工具使用详解：

#rpm -ql openssl

第一个功能库：libctypto：主要用来实现加密解密，一些用来实现加密解密的程序，有可能都要调用到libcrypto库，加密解密程序库会被众多应用程序所依赖；来完成ssl会话；一般默认安装完系统之后就会被默认安装，因为libctypto会被众多的

第二个功能库：libssl:实现ssl功能

/usr/bin/openssl多用途的命令行程序

httpd,有个模块叫做mod_ssl,支持https的功能模块

#openssl version//显示版本

openssl是一个具有许多子命令的命令,是一个多用途、多功能的工具；

常用选项：

OPTIONS

-in filename
           the input filename, standard input by default.
-out filename
           the output filename, standard output by default.  

使用openssl加密解密：

# cp /etc/fstab  ./
# cat fstab -n

# openssl enc -des3  -in fstab  -e -out fstab.des3
# file fstab.des3

# cat fstab.des3 -n

删除fstab,再解密还原为原来的文件

# rm -i fstab
# openssl enc -des3 -d -in fstab.des3 -out fstab
# cat -n fstab

解密只需逆序操作即可，似乎只需要输入一次密码即可：

Openssl加密格式：加密解密共两个命令

单项加密都是调用dgst算法

#openssl  ?
#man dgst

信息摘要算法的巨大特性就是雪崩效应

使用算法提取特征码：

# openssl dgst -md5 fstab
# openssl dgst -hex -md5 fstab
#md5sum fstab

雪崩效应实验

# vim fstab
# openssl dgst -hex -md5 fstab

[root@Cenetos ~]# vim   fstab//对里面内容随便修改一下，哪怕只是增加了一个空格而已

# openssl dgst -md5 -hexfstab

雪崩效应直接导致特征码已经完全变了模样，其实上面只是在里面添加了个空格而已！如果把原来的空格删除即可恢复原来的特征码哦！

无论使用哪个计算工具，只要使用的算法是相同的，那么，得到的结果一定是相同的。如下

[root@Cenetos ~]# md5sum fstab

4cf50b14ab7d08d99acace901fb78860  fstab

[root@Cenetos ~]# openssl dgst -md5 fstab

MD5(fstab)= 4cf50b14ab7d08d99acace901fb78860

# openssl dgst -sha1 fstab等同# sha1sum fstab

测试当前主机CPU支持加密算法的速度，速度测试工具
# openssl speed des-ede3

不带任何参数的speed对上面所支持的算法统统测试一遍

#man sslpasswd

生成随机数种子：
# openssl passwd -1 salt 11111111

注：红帽6.4默认已经不再是基于MD5，默认是基于sha512，只不过openssl不支持罢了。

如何随机得到八位的字符串呢？

Openssl专门生成随机数的命令rand

随机数

命令格式：生成随机数种子：
#openssl rand -base64 num
#openssl rand -hex num

如何生成私钥：

#openssl genrsa

# openssl genrsa 521
# openssl genrsa

既然可以输出到屏幕上，那就重定向到某个文件里面了。
# openssl genrsa 2048 > mykey.pki

# cat mykey.pki //即可得到私钥

私钥是至关重要的，不能随意让别人看到的，那私钥可以加密吗？私钥加密

#man genrsa

对私钥加密指定算法加密，一般有下面几项：

# openssl genrsa -des3 1024

私钥已经有了？那么公钥从何处来呢?（rsa）

如何提取公钥：
[root@Cenetos ~]# openssl rsa -in mykey.pki  -pubout

writing RSA key
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----

[root@Cenetos ~]# cat mykey.pki

-----BEGIN RSA PRIVATE KEY-----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=
-----END RSA PRIVATE KEY-----

以上就是私钥与之对应的公钥

查看私钥文件的默认权限

注：创建完之后要修改密钥的权限,或直接使用如下命令

# (umask 077; openssl genrsa -out /root/mykey2.pki 2048)
# ll /root/mykey2.pki

           证书请求的过程

证书中包含的是什么？主要就是拥有者自身的属性信息，公钥以及CA的签名，其核心其实就是用户的公钥。也就意味着用户要想去CA那里申请一个证书，该如何去申请呢？

一个证书的组成部分既包含用户的公钥又包含用户实体的名称，ID号等各种属性信息，在验证证书合法性的时候最重要的就是名称。

证书请求签署过程：

1、自己生成一个私钥；

2、(从私钥中把公钥提取出来，并附加上个人信息)制作一个证书签署请求；

3、由CA负责签署证书

# openssl req -new -key mykey.pki -out  /test/mykeyreq.csr

-new:制作一个证书申请；

-k:指定私钥文件位置；

-out:把证书申请保存为什么文件；

后缀：req文件格式的后缀名一般保存为*.csr，一般来讲都以此后缀名作为证书申请；

以下就是填写个人信息了哦：

各字段注释：

1、Country Name (2 letter code) [XX]:CN两个字符的国家代码，且只能是两个字符，这里填入CN；

2、State or Province Name (full name) []:Henan州或者省份的名字，这里填入Henan;

3、Locality Name (eg, city) [Default City]:默认所在的城市，这里填入Zhengzhou；

4、Organization Name (eg, company) [Default Company Ltd]：公司名称，默认为有限公司，这里填入Magedu；

5、Organizational Unit Name (eg, section):所在部门的名称，这里填入Tech;

6、Common Name (eg, your name or your server's hostname)

关键的一项，用户在访问时输入访问网站的名称；两种情况，若使用域名访问则此处给出的是域名；若是使用IP地址访问，则给出的是ip地址；一定要保持一致哦！一般设置的都是FQDN。假如此处填入www.magedu.com;

7、Email Address []:管理员邮箱地址，这里填入magedu@admin.com

后面两项根据实际需要填写即可

如何自建CA

2、由CA负责签署证书  如何自建CA？

使用openssl可以模拟自建CA，需要准备前提条件

1）为CA生成一个私钥

# cd /etc/pki/CA/
# ls
# pwd
# (umask 077; openssl genrsa -out private/cakey.pem 2048)
# ls -l private/cakey.pem

2）生成自签证书：

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3656

# touch serial index.txt
# echo 01 > serial
# ls -lh

3）签署证书：

# openssl ca -in myreq.csr -out mycert.crt -days 3656