如果想要建立自己的CA, OpenSSL已经包含了所有你需要的东西。所有的操作都通过纯命令行执行,虽然不那么友好,整个过程也比较长,但是这可以让你去思考每个细节。
我建议自己创建一套私有的 CA主要是出于教学的目的,不过还有一些别的原因。OpenSSL的CA天然满足个人或者小团体的需求,例如在开发环境使用一套CA比到处使用自签名的证书好得多。同时还可以通过客户端证书来提供双向验证,这可以极大地提高敏感Web应用的安全性。
运行私有CA最大的挑战不是设置问题,而是如何保证基础结构的安全。例如根密钥必须离线保存,因为所有的安全都依赖它。另一方面, CRL和OCSP响应程序证书必须定期进行更新,而这会要求根密钥保持联机。
功能和限制
我们会创建一个与公共CA类似的私有CA架构。会先有一个根CA,然后创建其他的二级CA。接着我们会通过CRL和OCSP服务提供证书吊销信息。为了让根CA的私钥可以离线保存, OCSP响应程序需要使用它们自己的身份。这并非是最简单的CA,但是相对来说比较安全。另外二级CA会在技术上进行限制,只能给允许的主机名签发证书
完成设置之后,必须将根证书安全地分发给所有客户端。一旦根证书分发完毕,就可以开始签发客户端和服务器证书了。有一个限制是以这种方式设置的OCSP响应程序主要用来测试,因为只能承受比较小的负载。
创建根 CA
创建全新的CA有几个步骤:配置、创建目录结构和初始化密钥文件,最后生成根密钥和证书。本节描述了整个过程和常见的CA操作。
1)根CA配置
创建CA之前,我们需要先准备一个配置文件告诉OpenSSL我们希望的配置。一般情况下并不需要配置文件,但是根CA的创建操作复杂,使用配置文件可以简便很多。 OpenSSL的配置文件很强大,在开始之前我建议你熟悉一下这些配置的功能(命令行上使用man config命令)。
配置文件第一部分包括了CA的名称、基础URL和CA可分辨名称等基本信息。因为这些配置都很灵活,只需配置一次即可。
[default]
name = root-ca
domain_suffix = example.com
aia_url = http://$name.$domain_suffix/$name.crt
crl_url = http://$name.$domain_suffix/$name.crl
ocsp_url = http://ocsp.$name.$domain_suffix:9080
default_ca = ca_default
name_opt = utf8,esc_ctrl,multiline,lname,align
[ca_dn]
countryName = "GB"
organizationName = "Example"
commonName = "Root CA"
第二部分直接控制了CA的操作。有关每个设置的完整信息,可以通过ca命令来获取它的文档(命令行上输入man ca)。大部分命令从字面意思就可以很容易理解,我们需要告诉OpenSSL存放文件的路径。因为根CA只用作二级CA的签发,所以我把有效期设置为10年。另外默认情况下使用SHA256作为签名算法。
默认策略( policy_c_o_match)限制了这张CA签发的证书的国家名和组织名会与CA本身一样。对于公共CA来说很少会有这样的设置,但对于私有CA来说这种方式比较合适:
[ca_default]
home = .
database = $home/db/index
serial = $home/db/serial
crlnumber = $home/db/crlnumber
certificate = $home/$name.crt
private_key = $home/private/$name.key
RANDFILE = $home/private/random
new_certs_dir = $home/certs
unique_subject = no
copy_extensions = none
default_days = 3650
default_crl_days = 365
default_md = sha256
policy = policy_c_o_match
[policy_c_o_match]
countryName = match
stateOrProvinceName = optional
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
第三部包含了req命令的配置, req命令只会在创建自签发根证书的时候用到一次。最重要的部分是扩展:基本限制( basicContraints)扩展表明这个证书是一张CA,密钥用法( keyUsage)扩展用来说明这个CA的用处:
[req]
default_bits = 4096
encrypt_key = yes
default_md = sha256
utf8 = yes
string_mask = utf8only
prompt = no
distinguished_name = ca_dn
req_extensions = ca_ext
[ca_ext]
basicConstraints = critical,CA:true
keyUsage = critical,keyCertSign,cRLSign
subjectKeyIdentifier = hash
配置的第四部分包括了根CA创建证书所需要的信息。因为基本限制( basicContraints)扩展的设置,所有的证书都将成为CA,但是我们需要把pathlen设置为0,表示这些CA无法再签发新的CA了。
所有二级CA都会受到限制,也就是说他们签发的证书只能对一些域名的子集有效,并且会被限制使用场景。第一,扩展密钥用法( extendedKeyUsage)扩展限制了只能进行客户端验证( clientAuth)和服务器验证( serverAuth),也就是TLS的客户端和服务器验证。第二,名称限制( nameContraints)扩展限制了允许签发的域名只有example.com和example.org。理论上这样的设置让你可以签发二级CA给第三方,同时可以通过限制他们无法签发任意域名的主机名来保证安全。排除这两个IP段的要求来自CAB论坛的Baseline Requirements,该规范从技术上定义了对二级CA的限制。
实际上,名称限制( nameContraints)并不完美,因为当前还有很多主流的平台无法识别名称限制扩展。如果你将这个扩展标记为关键扩展,就会导致很多平台拒绝识别你的证书。如果将其标记为关键扩展,那么很多平台就不会识别这个扩展,导致名称限制实际没有任何效果。
[sub_ca_ext]
authorityInfoAccess = @issuer_info
authorityKeyIdentifier = keyid:always
basicConstraints = critical,CA:true,pathlen:0
crlDistributionPoints = @crl_info
extendedKeyUsage = clientAuth,serverAuth
keyUsage = critical,keyCertSign,cRLSign
nameConstraints = @name_constraints
subjectKeyIdentifier = hash
[crl_info]
URI.0 = $crl_url
[issuer_info]
caIssuers;URI.0 = $aia_url
OCSP;URI.0 = $ocsp_url
[name_constraints]
permitted;DNS.0=example.com
permitted;DNS.1=example.org
excluded;IP.0=0.0.0.0/0.0.0.0
excluded;IP.1=0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0
最后两部分的配置表示有了这个扩展的证书可以对OCSP响应进行签名。为了能够运行OCSP响应程序,我们生成一个特别的证书,并且将OCSP的签名能力赋予这张证书。从扩展可以看出这张证书不是一个CA:
[ocsp_ext]
authorityKeyIdentifier = keyid:always
basicConstraints = critical,CA:false
extendedKeyUsage = OCSPSigning
keyUsage = critical,digitalSignature
subjectKeyIdentifier = hash
2)根CA的目录结构
下面我们会创建“根CA配置”中说到的目录结构,并且会初始化一些CA操作中会用到的文件。
$ mkdir root-ca
$ cd root-ca
$ mkdir certs db private
$ chmod 700 private
$ touch db/index
$ openssl rand -hex 16 > db/serial
$ echo 1001 > db/crlnumber
我们会用到以下这几个目录。
certs/
存放证书的地方;证书在签名之后会放置到这个目录下。
db/
这个目录用于证书数据库( index),一些包括下一张证书以及CRL数字的文件。 OpenSSL
会创建额外需要的一些文件。
private/
这个目录会存放私钥,一个给CA使用,一个给OCSP响应程序使用。务必确保其他用户
都不能访问这个目录(事实上,如果你真的很在意这个CA,那么这台存放根证书和密钥
的服务器的用户账户必须尽可能少)。
3)根CA生成
我们需要分两步来创建根CA。首先,我们生成密钥和CSR文件。当我们使用-config开关之后,所有需要的信息都会从配置文件中加载进来
$ openssl req -new
-config root-ca.conf
-out root-ca.csr
-keyout private/root-ca.key
第二步我们会创建自签名证书。 -extension开关指向了配置文件的ca_ext部分,这样可以激活根CA所需的扩展。
$ openssl ca -selfsign
-config root-ca.conf
-in root-ca.csr
-out root-ca.crt
-extensions ca_ext
4)数据库文件结构
db/index中的数据库是一个包含证书信息的明文文件,每行一个证书。我们刚刚创建根CA,现在这个文件只有一行信息
V 240706115345Z 1001 unknown /C=GB/O=Example/CN=Root CA
每一行包括以下6个以制表符分隔的值。
(1) 状态标记[ V表示有效( valid), R表示已吊销( revoked), E表示已过期( expired)]
(2) 过期时间(以YYMMDDHHMMSSZ格式表示)
(3) 吊销日期,如果没有被吊销则为空
(4) 序列号(十六进制)
(5) 文件路径(如果不知道就显示unknown)
(6) 可分辨名称
5)根CA操作
使用ca命令的-gencrl开关给新CA生成CRL:
$ openssl ca -gencrl
-config root-ca.conf
-out root-ca.crl
使用ca的的命令来签发证书。需要注意的是-extensions开关需要指向配置文件里面正确的部分(例如,你肯定不希望再生成另一个根CA)。
$ openssl ca
-config root-ca.conf
-in sub-ca.csr
-out sub-ca.crt
-extensions sub_ca_ext
如果要吊销证书,可以使用ca命令的-revoke开关,不过需要有一份你想吊销的证书的副本。不过因为所有的证书都存在certs/目录下,所以只需要知道序列号即可。如果知道证书的可分辨名称,就可以在数据库里面查到它的序列号了。
为-crl_reason开关中的值选择一个正确的理由。该值可以是以下这些值之一: unspecified、keyCompromise 、 CACompromise 、 affiliationChanged 、 superseded 、 cessationOfOperation 、certificateHold和removeFromCRL。
$ openssl ca
-config root-ca.conf
-revoke certs/1002.pem
-crl_reason keyCompromise
6)创建用于OCSP签名的证书
首先我们需要给OCSP响应程序创建一个私钥和CSR。这两个操作对所有的非CA证书都适用,所以不需要指定配置文件:
$ openssl req -new
-newkey rsa:2048
-subj "/C=GB/O=Example/CN=OCSP Root Responder"
-keyout private/root-ocsp.key
-out root-ocsp.csr
第二步需要使用根CA签发一张证书。 -extensions开关的值选择ocsp_ext,以确保设置了OCSP签名所需要的扩展。我将这个证书的生命周期减少为365天(原来默认是3650天)。这些OCSP证书是没有吊销信息的,所以无法吊销它们。因此你会希望尽可能减少它们的生命周期。 30天是一个比较好的选择,当然前提是你已经准备好频繁地创建新的OCSP证书。
$ openssl ca
-config root-ca.conf
-in root-ocsp.csr
-out root-ocsp.crt
-extensions ocsp_ext
-days 30
现在你已经有了OCSP响应程序所需要的一切东西,可以直接在根CA所在的服务器上进行测试。当然,如果在生产环境中使用,就必须将OCSP响应程序的密钥和证书放到别的地方
$ openssl ocsp
-port 9080
-index db/index
-rsigner root-ocsp.crt
-rkey private/root-ocsp.key
-CA root-ca.crt
-text
可以使用下面的命令来测试OCSP响应程序:
$ openssl ocsp
-issuer root-ca.crt
-CAfile root-ca.crt
-cert root-ocsp.crt
-url http://127.0.0.1:9080
输出结果中的verify OK表示已经成功验证签名,而good表示这张证书还没有被吊销。
Response verify OK
root-ocsp.crt: good
This Update: Jul 9 18:45:34 2014 GMT
创建二级 CA
创建二级CA的过程和根CA几乎完全一样。
1)二级CA配置
我们可以在前面根CA配置文件的基础上,进行一些适当的修改生成二级CA的配置。我们会把名称改为sub-ca并且使用另一个可分辨名称。我们将二级CA的OCSP响应程序放在另外一个端口,主要是因为ocsp命令不识别虚拟主机。如果为OCSP响应程序使用了适合的Web服务器,就可以完全避免使用特别的端口。该证书默认的生命周期是365天,我们会每隔30天生成全新的CRL。
将copy_extensions更改为copy意味着在生成新证书的时候,如果我们的配置文件里面没有设置某些扩展,那么就会使用CSR文件里面的扩展字段。进行此更改之后,在准备CSR文件的时候就可以加入别的一些需要的字段,这些信息会在生成证书的时候加入到证书里面。这个特性有几分危险(因为允许其他人可以在一定程度上直接控制证书里面的内容),不过我认为在较小的环境中这么做是可以的。
[default]
name = sub-ca
ocsp_url = http://ocsp.$name.$domain_suffix:9081
[ca_dn]
countryName = "GB"
organizationName = "Example"
commonName = "Sub CA"
[ca_default]
default_days = 365
default_crl_days = 30
copy_extensions = copy
在配置文件的最后面,我们会增加两个新的配置,分别用于服务器和客户端证书的生成。唯一的区别就是keyUsage和extendedKeyUsage扩展。注意到我们把basicContraints扩展的值设置为false。之所以这么做,原因在于我们会复制CSR文件里面的扩展。如果在配置文件中没有显示设置这个扩展,那么就可能会用到CSR文件中的basicContraints了。
[server_ext]
authorityInfoAccess = @issuer_info
authorityKeyIdentifier = keyid:always
basicConstraints = critical,CA:false
crlDistributionPoints = @crl_info
extendedKeyUsage = clientAuth,serverAuth
keyUsage = critical,digitalSignature,keyEncipherment
subjectKeyIdentifier = hash
[client_ext]
authorityInfoAccess = @issuer_info
authorityKeyIdentifier = keyid:always
basicConstraints = critical,CA:false
crlDistributionPoints = @crl_info
extendedKeyUsage = clientAuth
keyUsage = critical,digitalSignature
subjectKeyIdentifier = hash
改好配置文件之后,按照根CA的过程创建一个同样的目录结构,不过可以使用另外一个名称,比如sub-ca。
2)二级CA生成
与前面一样,创建二级CA需要两步。第一步生成密钥和CSR。当我们使用-config开关的时候,所有需要的信息都会从配置文件中加载进来。
$ openssl req -new
-config sub-ca.conf
-out sub-ca.csr
-keyout private/sub-ca.key
第二步我们使用根CA来签发证书。 -extensions开关指向配置文件中的sub_ca_ext,从而使用二级CA所需要的扩展。
$ openssl ca
-config root-ca.conf
-in sub-ca.csr
-out sub-ca.crt
-extensions sub_ca_ext
3)二级CA操作
要签发服务器证书,可以在处理CSR文件的时候,在-extensions开关中指定server_ext:
$ openssl ca
-config sub-ca.conf
-in server.csr
-out server.crt
-extensions server_ext
要签发客户端证书,可以在处理CSR文件的时候,在-extensions开关中指定client_ext:
$ openssl ca
-config sub-ca.conf
-in client.csr
-out client.crt
-extensions client_ext
注意
当收到新证书申请请求的时候,你需要在对所有信息进行验证之后才能进行操作。你
需要确保所有资料符合规定,特别是当你处理的CSR文件是别人生成的时。特别要注
意证书的可分辨名称以及basicContraints和subjectAlternativeName扩展。
二级CA的CRL生成和证书的吊销过程与根CA是一样的。唯一不同的是OCSP响应程序所使用的端口;二级CA使用的是9081端口。推荐OCSP响应程序使用独立的证书,这样可以避免将二级CA部署到公开的服务器上.
本文摘自《OpenSSL攻略》