CA认证中心——数字证书认证过程 当前资讯

1 数字证书认证过程：

(资料图)

证书请求文件:CSR是Cerificate Signing Request的英文缩写，即证书请求文件，也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书的私钥签名就生成了证书文件，也就是颁发给用户的证书。

1.1用户使用CA证书确认服务器身份过程

1、请求文件发给yunzu63 CA认证中心 2、CA认证 (用CA的私钥加密yunzu64的请求文件), 得到加密后的文件，这个文件就是yunzu64的证书 ），CA认证中心颁发给yunzu64加密后的数字证书 3、用户访问yunzu64并向yunzu64索要数字证书 4、用户拿到数字证书后，用浏览器中CA的公钥解密yunzu64的证书,解开后得到yunzu64的公钥和标识(主机名，国家，省，组织等信息)，从而确认yunzu64的身份。

2 搭建CA认证中心

2.1 安装CA认证软件包中心：

[root@yunzu63]#rpm -qf `which openssl `openssl-1.0.2k-8.el7.x86_64

2.2 配置一个自己的CA认证中心。生成CA的根证书和私钥。 根证书中包括：CA的公钥

[root@yunzu63 CA]# vim /etc/pki/tls/openssl.cnf 改： 172 #basicConstraints=CA:FALSE 为：172 basicConstraints=CA:TRUE #让自己成为CA认证中心

2.3 生成CA的公钥证书和私钥

[root@yunzu63 CA]# /etc/pki/tls/misc/CA -h #查看帮助 usage: /etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify

选项 ： -newcert 新证书 -newreq 新请求 -newreq-nodes 新请求节点 -newca 新的CA证书 -sign 签证 -verify 验证

[root@yunzu63 ~]# /etc/pki/tls/misc/CA -newca

CA certificate filename (or enter to create) #直接回车Making CA certificate ...Generating a 2048 bit RSA private key....................+++..........................................................................+++writing new private key to "/etc/pki/CA/private/./cakey.pem"Enter PEM pass phrase:123456   # 输入密码，保护私钥Verifying - Enter PEM pass phrase:123456  #再次输入密码-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter ".", the field will be left blank.----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:xianLocality Name (eg, city) [Default City]:yataOrganization Name (eg, company) [Default Company Ltd]: yunzuOrganizational Unit Name (eg, section) []:ITCommon Name (eg, your name or your server"s hostname) []:yunzu63.cn     #普通名称（例如，您的姓名或您的服务器的主机名）,随便写. 指定CA认证中心服务器的名字Email Address []:123456@163.comPlease enter the following "extra" attributes   to be sent with your certificate request      #添加一个“额外”的属性，让客户端发送CA证书,请求文件时，要输入的密A challenge password []:    #直接加车An optional company name []:  #直接加车Using configuration from /etc/pki/tls/openssl.cnf    # CA服务器的配置文件。上面修改的       内容会添加到这个配置文件中Enter pass phrase for /etc/pki/CA/private/./cakey.pem: 123456       #输入刚才保护CA私钥的密码Check that the request matches the signatureSignature okCertificate Details:         Serial Number:                        c9:16:bb:49:48:20:ed:16        Validity            Not Before: Dec 20 12:00:19 2014 GMT            Not After : Dec 19 12:00:19 2017 GMT        Subject（主题）:            countryName               = CN            stateOrProvinceName       = xian            organizationName          = yunzu            organizationalUnitName    = IT            commonName                = jiajia                emailAddress              = 123456@163.com        X509v3 extensions:            X509v3 Subject Key Identifier:             BF:E3:16:CC:EB:42:BD:6D:56:8E:A4:21:70:E6:72:40:0C:77:C0:C0            X509v3 Authority Key Identifier: keyid:BF:E3:16:CC:EB:42:BD:6D:56:8E:A4:21:70:E6:72:40:0C:77:C0:C0            X509v3 Basic Constraints:                 CA:TRUECertificate is to be certified until Dec 19 12:00:19 2017 GMT (1095 days)Write out database with 1 new entriesData Base Updated到此CA认证中心就搭建好了。

2.4 查看生成的CA根证书，根证书中包括CA公钥：

[root@yunzu63 CA]#vim /etc/pki/CA/cacert.pem Certificate:                Data:             Version: 3 (0x2)             Serial Number:            c0:1d:ed:ba:fc:7e:b4:40        Signature Algorithm: sha1WithRSAEncryption        Issuer: C=CN, ST=beijing, O=yunzu, OU=IT, CN=shenjianming/emailAddress=1@163.com  #CA 机构信息        Validity            Not Before: May  9 11:54:20 2015 GMT            Not After : May  8 11:54:20 2018 GMT        Subject: C=CN, ST=beijing, O=yunzu, OU=IT,                  CN=shenjianming/emailAddress=1@163.com        Subject Public Key Info:   #CA认证中心公钥信息            Public Key Algorithm: rsaEncryption                Public-Key: (2048 bit)                Modulus:

2.5 查看根证书的私钥

[root@yunzu63 CA]# vim /etc/pki/CA/private/cakey.pem -----BEGIN ENCRYPTED PRIVATE KEY-----MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI2JxR6+eEWI0CAggAMBQGCCqGSIb3DQMHBAjjVO7+mmTUuwSCBMil6B4xGLDfbskPQd++sEtyMtV8Y62lGztBjiSSNCE0amDVvhi5hG5dZpq9i/ik1Jh31DQ6siet10vm7/EZC4KSqagDsi66

3 使用证书搭建https

安装：httpd在yunzu64上配置https 步骤： 1、安装：httpd web服务器 2、yunzu64生成证书请求文件，发给yunzu63 CA认证中心进行签名，yunzu63下发证书 给yunzu64 3、把证书和httpd相结合，实现https 4、测试https认证效果

3.1 安装：httpd web服务器

[root@yunzu64 ~]# yum install httpd -y [root@yunzu64 ~]# vim /etc/httpd/conf/httpd.conf 改：#ServerName www.example.com:80 为：ServerName 192.168.1.64:80

[root@yunzu64 ~]# systemctl start httpd [root@yunzu64 ~]# iptables -F

3.2 yunzu64生成证书请求文件，获得证书

生一个私钥密钥（此时还没有生成公钥）：[root@yunzu64 ~]# openssl genrsa -des3 -out /etc/httpd/conf.d/server.key参数：-des3   encrypt the generated key with DES in ede cbc mode (168 bit key) #加密      一下私钥Generating RSA private key, 512 bit long modulus.....++++++++++++..............................++++++++++++e is 65537 (0x10001)Enter pass phrase for /etc/httpd/conf.d/server.key:123456  #输入保护私钥的密码，保护私    钥时，使用的加密算法是 -des3Verifying - Enter pass phrase for /etc/httpd/conf.d/server.key: 123456注： 有私钥可以推出来公钥。  但是公钥不可以推出私钥。公钥由私钥生成

3.3 使用私钥生成证书请求文件

[root@yunzu64 ~]# openssl req -new -key /etc/httpd/conf.d/server.key    -out  /server.csr    #注意后期添加的国家，省，组织等信息要和CA保持一致Enter pass phrase for /etc/httpd/conf.d/server.key:123456  #输入私钥的密码You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter ".", the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:xianLocality Name (eg, city) [Default City]:yantaOrganization Name (eg, company) [Default Company Ltd]:yunzuOrganizational Unit Name (eg, section) []:ITCommon Name (eg, your name or your server"s hostname) []:yunzu64.cn #这里要求输入的CommonName必须与通过浏览器访问您网站的 URL 完全相同，否则用户会发       现您服务器证书的通用名与站点的名字不匹配，用户就会怀疑您的证书的真实性。可以使域名也可以     使IP地址。Email Address []:123456@163.comPlease enter the following "extra" attributesto be sent with your certificate requestA challenge password []:    #不输密码直接回车An optional company name []:注：证书请求文件中有yunzu64的公钥。  这个公钥是在生成证书请求文件时，通过指定的私钥          /etc/httpd/conf.d/server.key生成的。 常识： 通过私钥可以生成公钥的，通过公钥不可以推出来私钥。

3.4 将证书请求文件发给CA服务器：

[root@yunzu64 ~]# scp /server.csr 192.168.1.63:/tmp/

3.5 CA签名：

[root@yunzu63 CA]# openssl ca -h[root@yunzu63 ~]# openssl ca -keyfile /etc/pki/CA/private/cakey.pem -cert  /etc/pki/CA/cacert.pem -in /tmp/server.csr -out /server.crt

Using configuration from /etc/pki/tls/openssl.cnfEnter pass phrase for /etc/pki/CA/private/cakey.pem:123456Check that the request matches the signatureSignature okCertificate Details:        Serial Number:            ce:60:e0:a3:fe:ee:88:09        Validity            Not Before: Dec 21 14:25:53 2014 GMT            Not After : Dec 21 14:25:53 2015 GMT        Subject:            countryName               = CN            stateOrProvinceName       = xian            organizationName          = yunzu            organizationalUnitName    = IT            commonName              = yunzu64.cn            emailAddress               = 123456@163.com        X509v3 extensions:            X509v3 Basic Constraints:                 CA:TRUE            Netscape Comment:                 OpenSSL Generated Certificate            X509v3 Subject Key Identifier:           1B:30:0B:28:4A:31:EA:FC:05:7D:54:A3:87:A0:6E:BE:F8:D6:3C:F8            X509v3 Authority Key Identifier:            keyid:6D:0F:0C:C5:96:32:A8:8B:D3:FF:36:39:5B:14:5B:9B:31:12:4A:C3Certificate is to be certified until Dec 21 14:25:53 2015 GMT (365 days)   #证书有效期是365天。证书进行认证，直到12月21日十四时25分53秒格林尼治标准时间2015年（365天）Sign the certificate? [y/n]:y    #注册证书1 out of 1 certificate requests certified, commit? [y/n]y  #确认Write out database with 1 new entriesData Base Updated

3.6 将证书复制到yunzu64

[root@yunzu63 CA]# scp /server.crt 192.168.1.64:/

4 使用证书实现https

SSL：(Secure Socket Layer)安全套接字层，通过一种机制在互联网上提供密钥传输。其主要目标是保证两个应用间通信数据的保密性和可靠性,可在服务器端和用户端同时支持的一种加密算法。目前主流版本SSLV2、SSLV3(常用）。 注：SSL作用，可以让你在一个不安全的公网环境中，安全传输你的密钥。

SSL应用情景： 存在安全隐患： 客户端和服务器之间传输数据时，如果何保证数据的安全？ 加密！ 问题：这个密码如何在不安全的公网环境中，安全的传输给你？ SSL四次握手安全传输： 加密协议： SSL 3.0 或 TLS 1.0 C -------------------------------------------------> S 1. 客户端请求一个安全的会话，协商加密算法 C < ------------------------------------------------- s="" 2.="" c="" -------------------------------------------------=""> S 3. 客户端用浏览中存放CA的根证书检测yunzu64证书，确认yunzu64是我要访问的网站。 客户端使用CA根证书中的公钥解密yunzu64的证书，从而得到yunzu64的公钥； 然后客户端生成一把对称的加密密钥,用yunzu64的公钥加密这个对称加密的密钥发给yunzu64。 后期使用对称密钥加密数据 C < ------------------------------------------------> S 4. yunzu64使用私钥解密，得到对称加密的密钥。从而，使用对称加密密钥来进行安全快速传输数据 注：这里使用对称加密数据，是因为对称加密和解密速度快 总结：过程1： 确认身份。 过程2：生成一把对称加密密钥，传输数据

配置： [root@yunzu64 ~]# cp /server.crt /etc/httpd/conf.d/ #复制证书 [root@yunzu64 ~]# ls /etc/httpd/conf.d/server.key #查看私钥 /etc/httpd/conf.d/server.key

[root@yunzu64 ~]# vim /etc/httpd/conf.d/ssl.conf 改：100 SSLCertificateFile /etc/pki/tls/certs/localhost.crt 为： SSLCertificateFile /etc/httpd/conf.d/server.crt 改：108 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 为： SSLCertificateKeyFile /etc/httpd/conf.d/server.key

启动服务： [root@yunzu64 ~]# systemctl restart httpd Enter SSL pass phrase for yunzu64.cn:443 (RSA) : 1123456 #httpd私钥密码

测试： 查看端口： [root@yunzu64 ~]# netstat -antup | grep 443 tcp 0 0 :::443 ::😗 LISTEN 5138/httpd 18.4.2 测试https效果 访问：https://192.168.1.64/