数字证书授权中心:CA →Certificate Authority

- 被通信双方信任的、独立的第三方机构

- 负责证书颁发、验证、撤销等管理

国内常见的CA机构

中国金融认证中心(CFCA

中国电信安全认证中心(CTCA

北京数字证书中心(BJCA

PKI公钥基础设施

PKI是一套标准的密钥管理平台;

通过公钥加密、数字证书技术确保信息安全;

PKI体系基本组成

权威认证机构(CA

- 数字证书库、密钥备份及恢复系统

- 证书作废系统、应用接口

web网站把公钥发给CA认证服务器,CA用私钥给web公钥签名。

然后把签名完的公钥发给 web服务器证书只有公钥)

CA服务器IP: 192.168.1.20

一、openssl对称加解密

基本操作格式:

加密:openssl enc 算法 -e  -in 输入文件 -out 输出文件

解密:openssl enc 算法 -d  -in 输入文件 -out 输出文件

 

1、加密

# openssl enc -e -des3 -in filea -out filea.enc

  //要加密的文件名filea加密成功后给新文件起名字filea.enc,也支持指定路径

2、解密

# openssl enc -d -des3 -in filea.enc -out new //解密成功后给生成新文件起名new

 

二、CA服务的建立

过程:

1、配置CA签署环境

2、为CA服务器生成私钥

3、为CA服务器创建根证书

4、发布根证书文件

 

1配置CA签署环境 

 配置文件:/etc/pki/tls/openssl.cnf

 默认环境:[CA_default]

 证书识别:[req_distinguished_name ]

 

# vim /etc/pki/tls/openssl.cnf

[CA_default ]

dir = /etc/pki/CA     # Where everything is kept        CA签署工作目录

certs = $dir/certs    # Where the issued certs are kept   用户证书存放路径

crl_dir = $dir/crl    # Where the issued crl arekept

database = $dir/index.txt  # database index file.

# unique_subject = no               

# Set to 'no' to allow creation of

# several ctificates with same subject.

new_certs_dir = $dir/newcerts  # default place for new certs.

 

certificate = $dir/my-ca.crt (公钥证书) # The CAcertificate   CA根证书文件

serial = $dir/serial        # The current serial number                

crlnumber = $dir/crlnumber    # the current crl number

# must be commented out to leave a V1 CRL

crl = $dir/crl.pem          # The current CRL

private_key = $dir/private/my-ca.key(私钥)  # The private key    CA私钥文件

RANDFILE = $dir/private/.rand   # private random number file

 

签名的公钥根证书

 

[req_distinguished_name ]  证书识别

countryName         = Country Name (2 lettercode)

countryName_default    = CN  (国家)

countryName_min      = 2

countryName_max      = 2

 

stateOrProvinceName           = State or Province Name (fullname)

stateOrProvinceName_default      = Beijing  (指定所在省/市)

#stateOrProvinceName_default    = Default Province

 

localityName              = Locality Name (eg, city)

localityName_default         = Beijing (指定市)

 

0.organizationName              = Organization Name (eg, company)

0.organizationName_default      = Dave Company Ltd (公司名)

 

2、创建相应的文件和目录

[root@localhost tls]# cd /etc/pki/CA

[root@localhost CA]# touch  index.txt

[root@localhost CA]# echo 01 > serial

 

3、生成CA的私钥文件

[root@localhost CA]# openssl genrsa -des3 2048 >  private/my-ca.key

              //为私钥设置口令(123456

[root@localhost CA]# chmod 600 private/my-ca.key

                                   

4、根据私钥生成公钥

[root@localhost CA]# openssl req-new -x509 -key private/my-ca.key \

-days 365 > my-ca.crt

需要输入保护私钥的密码。提示的问题,国家、城市、省份、公司名这四项必须和openssl.cnf中设置的完全一致,否则会失败。直接回车

 

5、发布根证书(公钥,供用户下载以信任该证书颁发机构

 可通过webFTP等方式进行发布

# cp /etc/pki/CA/my-ca.crt  /var/www/html/   //将公钥拷到网站根目录下

开启httpd服务:以便客户端下载

#service httpd start

客户端可以通过:http://192.168.1.20/my-ca.crt 下载

 

到此,CA服务器部署完成了!