OpenSSL 创建私有 CA 三部曲： 使用 OpenSSL 创建私有 CA：1 根证书 使用 OpenSSL 创建私有 CA：2 中间证书 使用 OpenSSL 创建私有 CA：3 用户证书 在前文《使用 OpenSSL 创建私有 CA：2 中间证书》中我们介绍了如何创建中间证书，并生成证书链。本文我们将介绍如何为应用生成用户证书(web 站点的 ssl 证书)，并把证书部署到应用服务器上和客户端上。说明：本系列文章的演示环境为 Ubuntu 18.04，OpenSSL 的版本为 1.1.0g。 目标 为局域网中的站点 bigxa 创建 ssl 证书并部署。 准备用户证书的配置文件 在 myca 目录下创建 bigxa 目录，然后创建配置文件 bigxa/bigxa.cnf，编辑其内容如下： 复制代码 # OpenSSL to generate a certificate signing requests(csr) configuration file. # v1 [ req ] # Options for the `req` tool (`man req`). # use prompt config control user interactive prompt = no input_password = 123456 default_bits = 2048 distinguished_name = req_distinguished_name string_mask = utf8only # SHA-1 is deprecated, so use SHA-2 instead. default_md = sha256 # Extension to add when the -x509 option is used. #x509_extensions = v3_ca req_extensions = v3_req [ req_distinguished_name ] # See . countryName = CN stateOrProvinceName = ShaanXi localityName = Xian organizationName = PowerCity Ltd organizationalUnitName = Star commonName = bigxa emailAddress = ljfpower@163.com [ v3_req ] subjectAltName = DNS:bigxa 复制代码 该配置文件主要通过 [ req_distinguished_name ] 段来设置证书的信息，请注意 [ v3_req ] 段中的 subjectAltName 信息，如果你为局域网中的 IP 地址生成 https 证书，就必须要设置 subjectAltName。 创建秘钥 进入 bigxa 目录： $ cd bigxa 创建目录 private csr certs： $ mkdir private csr certs 执行下面的命令重建私钥： $ openssl genrsa -out private/bigxa.key.pem 2048 注意，这里我们没有使用 -aes256 选项，这样创建的秘钥不包含密码。如果要创建 web 服务器用的 ssl 证书，一定不要为秘钥设置密码！否则在每次重启 web 服务的时候都需要输入密码！同样也把秘钥的权限设置为 400： $ chmod 400 private/bigxa.key.pem 此时当前目录为 myca/bigxa。 创建 Certificate Signing Requests(csr) 对于创建站点的 https 类型的证书，必须在配置文件中设置 Common Name 为 fully qualified domain name(也就是 网站的域名，或者是局域网中的机器名或 IP)。我们的 web 服务器机器名为 bigxa，所以在配置文件中设置 Common Name 为 bigxa，同时设置 subjectAltName 为 DNS:bigxa。注意，Common Name 不能与根 CA 和中间 CA 的 Common Name 相同。 使用下面的命令生成 csr： 复制代码 $ openssl req -config bigxa.cnf \ -key private/bigxa.key.pem \ -new -sha256 \ -out csr/bigxa.csr.pem 复制代码 用下面的命令来验证已经生成的 csr： $ openssl req -text -noout -in csr/bigxa.csr.pem 注意确认下图中的关键信息 CN = bigxa： 还有 Subject Alternative Name： 创建用户证书 因为我们在 powerca.cnf 中添加了 copy_extensions = copy，所以在使用 csr 生成用户证书时可以直接使用中间证书的配置文件(powerca/powerca.cnf)而不用修改。下面先回到 myca 目录下，然后生成用户证书： 复制代码 $ cd .. $ openssl ca -config powerca/powerca.cnf \ -extensions server_cert -days 1000 -notext -md sha256 \ -in bigxa/csr/bigxa.csr.pem \ -out bigxa/certs/bigxa.cert.pem 复制代码 这次输入的密码为 powerca 秘钥的保护密码：123456。 如果发生 "TXT_DB error number 2" 的错误，把 powerca/db/index 文件中相同名称的记录删除即可。这个文件是 OpenSSL CA 工具存储数据的数据库： 证书生成后我们把它的权限修改为 444： $ chmod 444 bigxa/certs/bigxa.cert.pem 验证证书 先通过下面的命令来验证用户证书中的基本信息： $ openssl x509 -text -in bigxa/certs/bigxa.cert.pem -noout 图中显示证书颁发机构为 NickLi Power CA，可用日期为 2018-11-27 至 2021-8-23 号，证书的 Common Name 为 bigxa。还有一些 X509 协议相关的信息： CA：FALSE 表示该证书不能用作中间证书了，SSL Server 表示该证书可以用来支持 HTTPS 协议，最后确认 Subject Alternative Name 为：DNS:bigxa。 最后通过下面的命令验证证书的合法性： $ openssl verify -CAfile powerca/certs/powerca-chain.cert.pem bigxa/certs/bigxa.cert.pem 自动创建用户证书 如果手动创建每个用户证书还是挺繁琐的，我们可以把这个过程自动化掉。在 myca 目录下创建 usercert 目录： $ mkdir usercert 把 bigxa/bigxa.cnf 拷贝到 usercert 目录下： $ cp bigxa/bigxa.cnf usercert/usercert.csr.cnf 在 usercert 目录下创建 private csr certs 三个目录： $ mkdir usercert/{private,csr,certs} 然后在 myca 目录下创建脚本文件 certhelper.sh，编辑其内容如下： 复制代码 #!/bin/bash # ./certhelper.sh yourhostname # if hostname is IP, should add the second paramerter "ip" # ./certhelper.sh 10.3.2.33 ip set -ex # demo: check string is empty if [ -z "$1" ]; then echo the first parameter is empty. echo plese add hostname as parameter exit 2 fi cname="$1" ctype="DNS" if [ ! -z "$2" ]; then if [ "$2" = "ip" ]; then ctype="IP" fi fi sed -i "s/^commonName.*/commonName = ${cname}/g" usercert/usercert.csr.cnf sed -i "s/^subjectAltName.*/subjectAltName = ${ctype}:${cname}/g" usercert/usercert.csr.cnf openssl genrsa -out usercert/private/${cname}.key.pem 2048 chmod 400 usercert/private/${cname}.key.pem openssl req -config usercert/usercert.csr.cnf \ -key usercert/private/${cname}.key.pem \ -new -sha256 \ -out usercert/csr/${cname}.csr.pem openssl ca -batch -config powerca/powerca.cnf \ -passin pass:123456 \ -extensions server_cert -days 3000 -notext -md sha256 \ -in usercert/csr/${cname}.csr.pem \ -out usercert/certs/${cname}.cert.pem openssl x509 -noout -text -in usercert/certs/${cname}.cert.pem openssl verify -CAfile powerca/certs/powerca-chain.cert.pem usercert/certs/${cname}.cert.pem cat usercert/certs/${cname}.cert.pem usercert/private/${cname}.key.pem > /tmp/temp.${cname}.certkey.pem cat /tmp/temp.${cname}.certkey.pem powerca/certs/powerca-chain.cert.pem > usercert/${cname}.ha.pem 复制代码 然后在 myca 目录下执行该脚本就可以了： 复制代码 $ ./certhelper.sh bigxa $ ./certhelper.sh 10.32.2.22 ip 复制代码 生成的证书会保存在 usercert 目录下。 把证书部署到 web 服务器 为了创建 HTTPS 站点，我们需要为 web 服务器 bigxa 配置 ssl 证书。所需的文件为 powerca-chain.cert.pem、bigxa.key.pem 和 bigxa.cert.pem。笔者的站点通过 HAProxy 做了负载均衡，所以在 HAProxy 的配置中添加 SSL 证书就可以了。具体的做法是通过下面的命令合成 HAProxy 所需的证书文件： 复制代码 $ cat bigxa/certs/bigxa.cert.pem bigxa/private/bigxa.key.pem > bigxa/temp.certkey.pem $ cat bigxa/temp.certkey.pem powerca/certs/powerca-chain.cert.pem > bigxa/bigxa.ha.pem 复制代码 把 bigxa.ha.pem 放置在 bigxa 机器上的 /etc/ssl/private/ 目录中，所有者和组都设置为 haproxy。最后在 HAProxy 的配置文件 /etc/haproxy/haproxy.cfg 中设置 ssl 证书的路径： bind *:443 ssl crt /etc/ssl/private/usercert.ha.pem 这样 web 服务器端的配置就完成了。 把证书链安装到客户端 Firefox 支持直接导入 pem 格式的证书链，直接导入这个文件就可以了。但是 windows 中需要使用 p12(pfx) 等格式，需要把 powerca-chain.cert.p12 安装到信任的根证书列表中，然后 IE 和 chrome 就可以正常识别到根证书了。 总结 本系列文章主要介绍如何在局域网中创建私有 CA，并用来颁发内网中使用的数字证书。内容以操作步骤为主，目的是让朋友们拷贝了就能立即使用。如果要了解数字证书的理论知识以及相关概念，建议阅读更专业的资料。 参考： OpenSSL Certificate Authority 《openssl-cookbook》 作者：sparkdev 出处：http://www.cnblogs.com/sparkdev/ 本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。https://www.cnblogs.com/sparkdev/p/10388395.html