文章目录

  • 证书问题
  • 0、常用生成自签名证书方式
  • 1、证书对接概述
  • 1)客户直接提供根证书
  • 2)需要客户签名
  • ①生成一个csr(3种方式)
  • (1)在线生成:
  • (2)openssl:
  • (3)keytool:
  • ②客户签发
  • (1)利用openssl 自签发证书:
  • (2)利用keytool 自签发证书:
  • ③转换格式
  • 2、格式转换问题
  • ①PEM -> JKS
  • ②PEM ->PKCS12(也叫PFX)
  • 3、证书与签发证书的关系概述
  • ①例如java应用验证构建
  • (1)构建A、B 各自的应用CA证书根节点
  • (2)生成证书
  • (3)生成证书请求
  • (4)签发证书
  • (5)加入密钥库
  • 1)加入单个密钥
  • 2)加入整个密钥库
  • ②ssh 作为服务器互信构建(利用密钥对)
  • (1)创建用户
  • (2)允许sudo 配置
  • 方式一:动态兼容
  • 方式二:写死一了百了
  • (3)可选变更sshd端口
  • (4)设置ssh-key 登录
  • 1)生成ssh-key
  • 2)上传公钥到服务器
  • (5)测试ssh登录


证书问题

为了避免再去重新梳理,干脆苟住,一次性分析下来,后面舒服才是真的舒服

证书格式,通常用的格式有pemjkspkcs12

互联生成的格式,通常为pem格式,也是x509

0、常用生成自签名证书方式

myssl :https://myssl.com/create_test_cert.html

samltool:https://www.samltool.com/self_signed_certs.php

1、证书对接概述

整体上,通常对接开发分为两种情况

①客户直接提供根证书 (这里我们定义为A证书)

②我们提供csr供客户签名后,返回给我们的签名证书(这里我们定义为B证书)

1)客户直接提供根证书

我们只需要根据客户提供证书,直接转换为jks即可

参考:https://myssl.com/cert_convert_wasm.html

2)需要客户签名

①生成一个csr(3种方式)

正规流程建议填写好讯息(说到底还是生成密钥对

(1)在线生成:

https://myssl.com/csr_create.html

(2)openssl:

# req 生成签名请求证书文件 openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout [$Key_File] -out [$OpenSSL_CSR]

-new: 指定生成一个新的CSR文件。

-nodes:指定密钥文件不被加密。

通常与后续 -newkey 连用

-sha256: 指定摘要算法。

摘要算法这里可选值: -sha256 / -sha384 / -sha512 / -sha1

-newkey rsa:2048 指定密钥类型和长度。

密钥类型可选: rsa / ecdsa 密钥强度可选: 2048 / 3072 / 4096

[$Key_File]: 密钥文件名称。

[$OpenSSL_CSR]: 加密后文件的存放路径。

(3)keytool:

# certreq 生成签名请求证书文件 keytool -certreq -sigalg SHA256withRSA -alias [$Alias] -keystore [$Keytool_Path] -file [$Keytool_CSR]

-sigalg: 密钥算法名称。

可选类型:SHA256withRSA / SHA1withDSA / SHA256withECDSA

-keysize: 密钥长度为2048bit。

可选值参考: 2048 (when using -genkeypair and -keyalg is "RSA") 1024 (when using -genkeypair and -keyalg is "DSA") 256 (when using -genkeypair and -keyalg is "EC") 56 (when using -genseckey and -keyalg is "DES") 168 (when using -genseckey and -keyalg is "DESede")

[$Alias]: 证书别名,可自定义。

[$Keytool_Path]: 证书文件保存路径。

②客户签发

通常客户会交予CA 签发

(1)利用openssl 自签发证书:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

-days: 过期时间,通常为365的倍数,最长为10年

server.csr: 我们提供的请求签名的csr

ca.crt: Ca 颁发的crt证书

ca.key: Ca颁发的密钥

server.crt: 生成的签名证书,用于提供给我们使用的

(2)利用keytool 自签发证书:
keytool -gencert -infile client.csr -outfile client.cer -alias serverStore -keystore serverStore.jks  -storepass 123456

client.csr: 我们提供的请求签名的csr

client.cer: 生成的自签发证书

serverStore:签发的证书别名

serverStore.jks:crt 由pem转换为jks的证书

123456: 生成jks的加密密码

③转换格式

参考:https://myssl.com/cert_convert_wasm.html

2、格式转换问题

①PEM -> JKS

可加密 ,由crt/cert 转换为jks,密码部分可要可不要。(通常供给java开发使用)

②PEM ->PKCS12(也叫PFX)

可加密 ,由crt/cert 转换为jks,密码部分可要可不要。(通常供给C#,VB等开发使用)

3、证书与签发证书的关系概述

整体上,实际属于A 生成一个证书,不能直接给B,B需要一个证明给A,让A颁发一个次级证书给B,让B能被CA辨识的一个关系。

CA可以是公有提供商,也可以是服务端私有自己作为CA提供商。

Tips这里所谓的提供商,其实是对密钥库的存储检测作用

①例如java应用验证构建

预设应用分为A,B,相对应内容的前缀会以 A_XX及 B_XX来分别代表A、B应用

(1)构建A、B 各自的应用CA证书根节点

此处的alias 名称是用于查询节点使用(虽然最后都会变成小写,但是我还是倔强一下)

#A 伺服器 
keytool -genkey -alias A_root -keyalg RSA -keystore A_root.jks
#B 伺服器
keytool -genkey -alias B_root -keyalg RSA -keystore B_root.jks

#查看jks证书方式
keytool -v -list -keystore xxx.jks

(2)生成证书

(1)此处的alias 名称是用于查询节点使用

(2)A_client.cer 、B_client.cer为根证书

# 生成A 伺服器的证书 A_client.cer
keytool -export -alias A_root -file A_client.cer -keystore A_root.jks
# 生成B 伺服器的证书 B_client.cer
keytool -export -alias B_root -file B_client.cer -keystore B_root.jks

(3)生成证书请求

各自生成csr去让对方签名认证

#生成A伺服器对应的证书请求文件
keytool -certreq -file A.csr -alias A_root -keystore A_root.jks
#生成B伺服器对应的证书请求文件
keytool -certreq -file B.csr -alias B_root -keystore B_root.jks

#查看CSR
openssl req -noout -text -in xxx.csr

(4)签发证书

对证书请求签发操作,使其可被签发方校验. 默认事件90天

#签发B伺服器的证书请求
keytool -gencert -infile B.csr -outfile A_signed.cer -alias A_root -keystore A_root.jks
#签发A伺服器的证书请求
keytool -gencert -infile A.csr -outfile B_signed.cer -alias B_root -keystore B_root.jks

#查看证书
openssl x509 -noout -text -in xxx.crt

(5)加入密钥库

查看密钥库:keytool -v -list -keystore xxx.jks

1)加入单个密钥

需要将双方签发的证书放入自己的密钥库,当然业务上,单方面加对方即可

#A 伺服器
keytool -import -keystore A_root.jks -file A_signed.cer -alias A_client_signed
keytool -import -keystore A_root.jks -file B_signed.cer -alias B_client_signed

#B 伺服器
keytool -import -keystore B_root.jks -file A_signed.cer -alias A_client_signed
keytool -import -keystore B_root.jks -file B_signed.cer -alias B_client_signed

2)加入整个密钥库

# 将B的密钥库导入到A密钥库内
keytool -importkeystore -srckeystore A_root.jks -destkeystore B_root.jks
# 将A的密钥库导入到B密钥库内
keytool -importkeystore -srckeystore B_root.jks -destkeystore A_root.jks

②ssh 作为服务器互信构建(利用密钥对)

实际是以ssh-key作为登录方式,取代单纯密码登入。实际上也是对密钥对的处理

提示: 千万切换用户的时候 以 su - ,同时切换环境变量

(1)创建用户

通常我们下意识应该要禁止root登入,为登入用户创建一个管理用户最佳

# 修改SSHD配置,禁止root登录 # 查找“#PermitRootLogin yes”,段末“yes”改为“no”。 vi /etc/ssh/sshd_config

# 创建用户
# 例如:用户名test
useradd -m test
# 配置密码
passwd test

(2)允许sudo 配置

实际上都是操作文件 vi /etc/sudoers

方式一:动态兼容

# 1、开启注释 
# Allows people in group wheel to run all commands
# 通常 root 用户所在的组称之为 wheel,故我们需要解开注释即可
## centos 
%wheel    ALL=(ALL)    ALL

## ubuntu
%sudo   ALL=(ALL:ALL) ALL


# 2、修改用户test,使其属于root组(wheel)
## centos
usermod -g root test

## ubuntu
sudo usermod -aG sudo test

方式二:写死一了百了

# 直接为用户添加行
## centos ,参照root编写
# Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
test    ALL=(ALL)     ALL

## Ubuntu,参照root编写
# User privilege specification
root    ALL=(ALL:ALL) ALL
test    ALL=(ALL:ALL) ALL

(3)可选变更sshd端口

至于为什么呢?就是为了避免默认端口扫描

其实也是对该文件操作 vi /etc/ssh/sshd_config

# 1、找寻 Port 22,删除#号,从0~65536中选取空闲端口填入 
# 例如:23333
Port 23333

# 2、重启sshd服务
## centos
service sshd restart

## ubuntu
sudo systemctl restart ssh.service

(4)设置ssh-key 登录

1)生成ssh-key

下列示例对应讯息:

ssh-key生成:

test 及 test.pub

# 方式一: 
# 通常ssh-key是如下操作,生成公钥
# -f 文件名 -C 备注  -t 类型
ssh-keygen -t rsa -f test -C "test key"

# 方式二:
# openssl 生成符合格式密钥对
## 1、生成密钥 
openssl genrsa -3 -out rsa_key.private
## 2、生成公钥
openssl rsa -pubout -in rsa_key.private -out rsa_key.public
## 3、公钥转换为ssh 接受的格式PKCS8
ssh-keygen -f rsa_key.public -i -mPKCS8 >id_rsa.pub
## 4、得到私钥 rsa_key.private 和公钥 rsa_key.public
## 则ssh 密钥对为:id_rsa.pub

2)上传公钥到服务器

下列对应示例讯息:

用户:test

ip限制:192.168.0.127

## 方式一: 使用ssh-key
# 1、上传公钥
ssh-copy-id -i ./test.pub  test@192.168.0.127
#相当于将公钥传到 test用户 中授权密钥文件内

# 2、设置公钥权限 (可选,但建议要)
# 1)确保费root用户无法操作
chmod 400 /home/test/.ssh/authorized_keys
# 2)保证权限不被修改 
# chattr +相当于递归处理开启文件属性 ,i为不得任意更动文件或目录。
chattr +i /home/test/.ssh/authorized_keys


## 方式二: openssl生成
# -f 表达默认安装
ssh-copy-id -f -i ./id_rsa.pub test@192.168.0.127

(5)测试ssh登录

登录公钥的权限要是600

#普通ssh-key 生成 ,调用公钥即可
ssh -i  test.pub  test@192.168.0.127
# opensll 生成,调用公钥即可
ssh-copy-id -f -i ./id_rsa.pub test@10.0.20.16

#若ip变更了,缓存中还是旧的,可以清空ssh-agent缓存
# 方式1: 删除指定密钥
ssh-add -d ~/.ssh/test/test
# 方式2: 清空缓存
## 查看缓存记录
ssh-keygen -l -f ~/.ssh/known_hosts
## 清空指定ip
## 例如用 192.168.0.127
ssh-keygen -R 192.168.0.127