如何使用Openssl 制作CA證書

一、SSL協議百科名片

  SSL是Secure Socket Layer（安全套接層協議），可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協議標準。其目標是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現支持。

  SSL協議要求建立在可靠的傳輸層協議(TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的，高層的應用層協議(HTTP，FTP，TELNET等)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信秘鑰的協商及服務器認證工作。

  SSL協議提供的安全信道有以下三個特性：

   1、機密性：確保數據是保密性和隱私性的。

   2、完整性：確保接收到的為完完整整的信息。

   3、可用性：確保整個性能的可以用來作為安全驗證的標示。

OpenSSL是一個強大的安全套接字層密碼庫，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，它還是一個多用途的、跨平臺的密碼工具，OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能。

二、Openssl的簡介

   OpenSSL是一個強大的安全套接字層密碼庫，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，不只是可以將其當做一個庫來使用，還是一個多用途的、跨平臺的密碼工具，OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能。

OpenSSL整個軟件包大概可以分成三個主要的功能部分

1、Libcrypto:密碼算法庫，負責加密與解密；

   2、Libssl：SSL協議庫，實現ssl協議功能的會話庫；

   3、httpd mod_ssl ：openssl 命令行工具。

三、數字證書

  數字證書是一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發的證書。

以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。

  數字證書可用于：發送安全電子郵件、訪問安全站點、網上證券交易、網上招標采購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

  PKI：Public Key Infrastructure，是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。

一個完整的PKI系統必須具有注冊機構（RC)、權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書吊銷系統（CRL）、端實體（API即應用接口）等基本構成部分。

四、證書格式

五、利用Openssl制作證書的相關命令

1、加密數據

# openssl enc -des3 -in /path/to/somefile -e -out /path/to/somefile.des3

2、解密數據

# openssl enc -des3 -in /path/to/somefile.des3 -d -out /path/to/somefile

  3、獲取加密所需的特征碼

# openssl dgst -md5 -hex /path/to/somefile
# md5sum

  4、測試加密速度

# openssl speed

  5、添加密碼時計算其密碼值

# openssl passwd -l -salt

  6、生成隨機數

# openssl rand -base64 num
# openssl rand -hex num

7、生成私鑰

# openssl genrsa 2^n > /path/to/keyfile
# openssl genrsa -out /path/to/keyfile 2^n
# (umask 077; openssl genrsa -out /root/mykey2.pri 2048)

8、提取公鑰

# openssl rsa -in /path/to/keyfile -pubout

六、如何申請證書

  1、生成一個私鑰；

2、制作一個證書簽署請求；

# openssl req -new -key /path/to/private_key -out /paht/to/certificate.csr

  3、由CA負責簽署證書；

七、如何自建CA

  1、為CA生成一個私鑰；

# cd /etc/pki/CA/
# (umask 077; openssl genrsa -out private/cakey.pem 2048)

2、生成自簽證書；

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
# touch index.txt
# echo 01 > serial

3、簽署證書

# openssl ca -in /path/to/certreq.csr -out /path/to/certfile.crt -days 365

八、客戶端測試CA證書

# openssl s_client -connect HOST:PORT -CAfile /path/to/cacertfile|-CApath /paht/to/cacertfiles_dir/ -ssl2|-ssl3|-tls1

九、Openssl后綴名的文件

1）.key格式：私有的密鑰

2）.crt格式：證書文件，certificate的縮寫

3）.csr格式：證書簽名請求（證書請求文件），含有公鑰信息，certificate signing request的縮寫

4）.crl格式：證書吊銷列表，Certificate Revocation List的縮寫

5）.pem格式：用于導出，導入證書時候的證書的格式，有證書開頭，結尾的格式