前言
随着互联网的迅猛发展,网络通信已经成为传递信息的主要途径。而通信时的数据传输大部分却是明文传输的,在网络这个不安全的环境下,如果没有一套数据加密机制,就会导致敏感信息和重要数据泄露,引起不可估量的损失。而OpenSSL正好弥补了这一缺憾,那什么是OpenSSL呢?OpenSSL是一套强大的具有加密功能的组件,它包含libcrypto(公共加密库)、libssl(SSL协议的实现)和openssl(多功能命令工具),因其开源思想,现已广泛应用于数据通信加密领域。OpenSSL还可在局域网内构建私有CA,实现局域网内的证书认证和授权,保证数据传输的安全性。如何构建私有CA呢?本文将详细讲述基于OpenSSL实现私有CA构建。
数据加密解密过程
数据加密需要实现的功能:数据私密性,数据完整性,身份认证和秘钥交换。
加密类型及功能: 单向加密:提取数据特征码,实现数据完整性验证 对称加密:数据加密,实现数据私密性 公钥加密:使用对方公钥加密,实现秘钥交换 使用自己私钥加密,实现身份验证
公钥在网络传输过程中,无法保证可信度,容易被窃取或伪装,所以我们就需要一个受信任的第三方机构(CA)
CA工作流程
#A和B各自用CA的公钥解密对方证书,完成身份验证
由于CA支持在互联网上价格不菲,所以在企业内,不牵涉外网通信前提下,完全自行构建一个局域网内的私有CA.
实现CA构建
OpenSSL可以构建适用于中小型企业的私有CA,如果需要在大型企业构建CA可以用OpenCA,有兴趣可以自行Google,这里就不做详解了,因为OpenSSL足以满足大多数需求。
建立CA服务器
生成秘钥
命令详解: umask 077:保证秘钥文件其他人无读写权限,在()内执行,只对当前子shell有效 -out /path/to/somefile:指定生成秘钥位置 2048:秘钥长度,可自定义 #openssl rsa -in private/cakey.pem -pubout -text 可提取公钥
自签证书
命令详解: req: 生成证书签署请求 -news: 新请求 -key /path/to/keyfile: 指定私钥文件 -out /path/to/somefile: 指定生成证书位置 -x509: 生成自签署证书 -days n: 有效天数 #Country Name (2 letter code) [XX]:CN #国家(大写缩写) #State or Province Name (full name) []:Shandong #省份或洲 #Locality Name (eg, city) [Default City]:Qingdao #城市 #Organization Name (eg, company) [Default Company Ltd]:Scholar #公司 #Organizational Unit Name (eg, section) []:Tech #部门 #Common Name (eg, your name or your server‘s hostname) []:ca.scholar.com #必须与证书所有者能解析到的名字保持一致,否则将无法通过验证 #Email Address []:ca@scholar.com #邮箱 #以上操作默认选项可通过修改配置文件(/etc/pki/tls/openssl.cnf)修改
初始化工作环境
命令详解: index.txt:证书缩影数据库 serial:签署证书编号文件 echo 01 > serial #设定编号初始值
客户端申请证书
生成密钥
#我们给web服务生成请求用于https,在其配置文件目录创建用于保存私钥和证书的目录
生成证书签署请求
#A challenge password []: #证书请求需要加密存放,如果添加密码,需要将密码一同给CA #An optional company name []:
将签署请求文件发送给CA服务器
#CA服务器工作目录下,手动创建了一个存放证书请求的目录(存放目录请随意)
CA签署证书
将签署的证书发送给请求者
这样客户端就可以配置使用CA签署的证书,进行加密通信了。如果客户端的私钥不慎丢失,或者证书过期了该怎么办呢?接下来我们看一下证书怎么吊销吧。
证书吊销
客户端获取证书serial
CA验证信息
根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致
CA吊销证书
CA生成吊销证书编号(第一次吊销)
CA更新证书吊销列表
#如果有需要,可查看crl文件的内容 #openssl crl -in /path/to/crlfile.crl -noout -text
好了,证书成功吊销,可以重新申请了。
The end
以上便是基于OpenSSL构建私有CA的步骤了,实际效果请自行测试,这里我就不做解析测试了。仅为个人学习整理,如有错漏,大神勿喷~~~
本文出自 “北城书生” 博客,请务必保留此出处http://scholar.blog.51cto.com/9985645/1629145
原文地址:http://scholar.blog.51cto.com/9985645/1629145