Linux系统中OpenSSL如何配置CA

在Linux系统中配置OpenSSL作为证书颁发机构（CA）涉及几个步骤。以下是一个基本的指南，帮助你设置一个简单的CA。

1. 安装OpenSSL

首先，确保你的系统上已经安装了OpenSSL。你可以使用包管理器来安装它。例如，在基于Debian的系统上，你可以使用以下命令：

sudo apt-get update
sudo apt-get install openssl

在基于Red Hat的系统上，你可以使用：

sudo yum install openssl

2. 创建CA目录结构

创建一个目录来存放CA的文件，并设置适当的权限：

mkdir -p /etc/ssl/CA
chmod 700 /etc/ssl/CA

3. 创建CA配置文件

创建一个CA配置文件/etc/ssl/openssl.cnf，并添加以下内容：

[ ca ]
default_ca = CA_default

[ CA_default ]
dir               = /etc/ssl/CA
certs             = $dir/certs
new_certs_dir     = $dir/newcerts
database          = $dir/index.txt
serial            = $dir/serial
RANDFILE          = $dir/private/.rand

private_key       = $dir/private/ca.key
certificate       = $dir/cacert.pem

crlnumber         = $dir/crlnumber
crl               = $dir/crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 3650
preserve          = no
policy            = policy_strict

[ policy_strict ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
default_bits        = 4096
distinguished_name  = req_distinguished_name
string_mask         = utf8only

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

4. 创建CA私钥

生成CA的私钥：

sudo openssl genpkey -algorithm RSA -out /etc/ssl/CA/private/ca.key -aes256

5. 创建CA证书

使用私钥生成CA的自签名证书：

sudo openssl req -config /etc/ssl/openssl.cnf -key /etc/ssl/CA/private/ca.key -new -x509 -days 3650 -sha256 -extensions v3_ca -out /etc/ssl/CA/cacert.pem

在生成证书的过程中，你会被要求输入一些信息，如国家、州、组织名称等。

6. 初始化CA数据库

创建CA的数据库文件和序列号文件：

sudo touch /etc/ssl/CA/index.txt
echo 1000 >
     /etc/ssl/CA/serial

7. 创建CRL文件

创建一个CRL（证书吊销列表）文件：

sudo openssl ca -config /etc/ssl/openssl.cnf -gencrl -out /etc/ssl/CA/crl.pem

8. 验证CA配置

确保证书和CRL文件已经正确生成：

sudo openssl x509 -in /etc/ssl/CA/cacert.pem -text -noout
sudo openssl crl -in /etc/ssl/CA/crl.pem -text -noout

9. 使用CA签发证书

现在你可以使用这个CA来签发其他证书。创建一个请求文件request.cnf，并添加以下内容：

[ req ]
default_bits        = 2048
prompt              = no
default_md          = sha256
distinguished_name  = dn

[ dn ]
C=US
ST=State
L=City
O=Organization
OU=Organizational Unit
CN=Common Name

[ v3_req ]
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = example.com
DNS.2 = www.example.com

然后生成CSR（证书签名请求）：

sudo openssl req -new -keyout example.key -out example.csr -config request.cnf

最后，使用CA签发证书：

sudo openssl ca -config /etc/ssl/openssl.cnf -extensions v3_req -days 365 -notext -md sha256 -in example.csr -out example.crt

这样，你就成功地配置了一个OpenSSL CA，并签发了一个证书。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！