Linux下OpenSSL如何配置CA证书

在Linux下配置OpenSSL以创建和管理CA（证书颁发机构）证书涉及几个步骤。以下是一个基本的指南，帮助你设置一个简单的CA证书系统。

1. 安装OpenSSL

首先，确保你的系统上已经安装了OpenSSL。你可以使用包管理器来安装它。例如，在基于Debian的系统上：

sudo apt-get update
sudo apt-get install openssl

在基于Red Hat的系统上：

sudo yum update
sudo yum install openssl

2. 创建CA目录结构

创建一个目录来存放CA的文件和证书。通常，这个目录结构如下：

mkdir -p /etc/ssl/CA
cd /etc/ssl/CA
mkdir certs crl newcerts private
chmod 700 private
touch index.txt
echo 1000 >
     serial

• certs：存放CA证书和签发的证书。
• crl：存放证书吊销列表（CRL）。
• newcerts：存放新证书的序列号文件。
• private：存放CA的私钥。
• index.txt：CA证书数据库。
• serial：证书序列号文件。

3. 创建CA私钥

使用OpenSSL生成CA的私钥：

openssl genpkey -algorithm RSA -out private/ca-key.pem 4096

4. 创建CA自签名证书

使用私钥创建CA的自签名证书：

openssl req -x509 -new -nodes -key private/ca-key.pem -sha256 -days 1024 -out certs/ca-cert.pem -subj "/C=US/ST=State/L=City/O=Organization/CN=CA Name"

在提示时输入相关信息，例如国家、州、城市、组织名称和CA名称。

5. 配置OpenSSL以使用CA

创建一个配置文件/etc/ssl/openssl.cnf，并添加以下内容：

[ ca ]
default_ca = CA_default

[ CA_default ]
dir               = /etc/ssl/CA
certs             = $dir/certs
crl_dir           = $dir/crl
new_certs_dir     = $dir/newcerts
database          = $dir/index.txt
serial            = $dir/serial
RANDFILE          = $dir/private/.rand

private_key       = $dir/private/ca-key.pem
certificate       = $dir/certs/ca-cert.pem

crlnumber         = $dir/crlnumber
crn_file          = $dir/crl/crlnumber
default_crl_days  = 30

default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 3650
preserve          = no
policy            = policy_strict

[ policy_strict ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
default_bits        = 4096
distinguished_name  = req_distinguished_name
string_mask         = utf8only

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName               = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

6. 验证CA配置

确保CA配置正确无误：

openssl req -config /etc/ssl/openssl.cnf -new -x509 -days 1024 -extensions v3_ca -keyout private/ca-key.pem -out certs/ca-cert.pem

7. 使用CA签发证书

现在你可以使用这个CA来签发其他证书。创建一个请求文件request.cnf：

[ req ]
default_bits        = 2048
prompt              = no
default_md          = sha256
distinguished_name  = dn

[ dn ]
C=US
ST=State
L=City
O=Organization
OU=Unit
CN=Common Name

[ v3_req ]
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = example.com
DNS.2 = www.example.com

然后生成证书签名请求（CSR）：

openssl req -new -key private/server-key.pem -out request.csr -config request.cnf

最后，使用CA签发证书：

openssl ca -config /etc/ssl/openssl.cnf -extensions v3_req -days 365 -notext -md sha256 -in request.csr -out server-cert.pem

8. 验证签发的证书

验证签发的证书：

openssl x509 -in server-cert.pem -text -noout

通过这些步骤，你应该能够在Linux系统上成功配置和使用OpenSSL CA证书。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！