前言
在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,以保证网络传输过程中数据的机密性。HTTPS协议可以大致分为两个部分:其一是协商密钥,首先当Client向Web Server发起请求时,Web Server向Client返回一个包含Server端公钥的证书,然后Client验证该证书的合法性并生成一个随机密钥,接着使用该证书对生成的随机密钥进行非对称加密后发送回Web Server,最后Web Server使用私钥进行解密后获取Client生成的随机密钥;其二是加密通信,Web Server与Client端采用随机密钥进行对称加解密进行通信。HTTPS通信流程图如下,引用于Leon_hy的博客。证书一般由第三方CA进行签发,自签证书将不被浏览器信任,会弹出连接不安全的小窗。本文介绍了Ubuntu 18.04使用OpenSSL自建CA且签发证书的流程,并成功获取谷歌等浏览器的信任。
环境准备
1. OpenSSL依赖安装
$ sudo apt-get install -y openssl libssl-dev
2. 创建证书保存目录及相关文件
需要注意的是,以下除了certificate文件夹外,命名必须与/usr/local/ssl/openssl.cnf中的对应名称保持一致,以下均采用默认值
$ cd ~ $ mkdir certificate && cd certificate $ mkdir demoCA && cd demoCA $ mkdir private newcerts $ touch index.txt $ echo '01' > serial
自建CA
1. 生成根密钥
需要注意的是,此处的密钥名必须与/usr/local/ssl/openssl.cnf中的名称保持一致,默认为cakey.pem
$ cd private $ openssl genrsa -out cakey.pem 2048
2. 生成根CA证书
$ openssl req -new -x509 -days 3650 -key cakey.pem -out cacert.pem
随后按照指引填写根CA证书的相关信息,其中填写内容不做要求(特别指出Common Name此处为根证书颁发机构,命名建议为XX Root CA)
3. 将根证书移动到demoCA文件夹下
$ cd .. && mv ./private/cacert.pem ./
添加信任
下面介绍两种证书验证场景下,添加信任的方式
1. Google浏览器(火狐浏览器类似)
设置->隐私设置和安全性->管理证书->导入->下一步->浏览
注意此处谷歌浏览器默认导入证书后缀为crt,可以选择所有文件后导入cacert.pem文件到受信任的根证书颁发机构并确认
2. OpenSSL默认证书验证文件(调用OpenSSL库验证证书合法性的应用将使用该文件如curl等,注意在Ubuntu其他版本中ca-certificates.crt文件可能又叫做ca-bundle.crt)
$ sudo sh -c "cat cacert.pem >> /etc/ssl/certs/ca-certificates.crt"
颁发证书
1. 切换出demoCA文件夹,到certificate文件夹
$ cd ~/certificate
2. 创建custom.ext文件,添加多IP配置,文件内容如下(如果需要配置多DNS域名解析,可以在[ SubjectAlternativeName ]下添加DNS.1 = www.XXX.com或者正则匹配式*.XXX.com)
3. 创建私钥
$ openssl genrsa -out custom.key 2048
4. 创建证书请求文件
$ openssl req -new -key custom.key -out custom.csr
随后按照指引填写证书的相关信息,填写内容除了Common Name,其余部分尽量与根证书保持一致(Common Name内容不做要求)
5. 签发证书
$ openssl ca -in custom.csr -extfile custom.ext -days 365 -out custom.crt
签发后的证书连同私钥可以供Web Server使用
测试
1. google浏览器测试结果
2. 火狐浏览器测试结果
