OpenSSL证书生成与管理全攻略 – wiki基地

OpenSSL证书生成与管理全攻略

OpenSSL 是一个强大的开源安全套接字层密码库，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL/TLS 协议实现。它被广泛应用于各种网络应用，如 Web 服务器、邮件服务器、VPN 等，以保障数据传输的安全性。本文将深入探讨如何使用 OpenSSL 进行证书的生成、管理和应用，帮助你全面掌握这一关键技术。

一、 证书基础知识

在深入 OpenSSL 之前，我们需要了解一些证书相关的基础知识。

• 数字证书: 数字证书是由受信任的证书颁发机构（CA）签名的电子文档，用于证明公钥的拥有者身份。它包含以下主要信息：

  • 公钥：用于加密和数字签名。
  • 主体信息：证书拥有者的信息，如个人姓名、组织名称、域名等。
  • 颁发者信息：签发证书的 CA 的信息。
  • 有效期：证书的有效期限。
  • 数字签名：CA 使用其私钥对证书内容的签名，确保证书未被篡改。

• 证书类型:

  • 自签名证书: 自己给自己签发的证书，不被任何 CA 信任。主要用于测试和开发环境。
  • CA 签名证书: 由受信任的 CA 签发的证书，被广泛认可和信任。用于生产环境。
  • 服务器证书: 用于标识服务器身份，客户端通过验证服务器证书来确保连接到正确的服务器。
  • 客户端证书: 用于标识客户端身份，服务器通过验证客户端证书来确认客户端的合法性。
  • 代码签名证书: 用于对软件代码进行签名，确保代码的完整性和来源可靠性。

• 证书格式:

  • PEM: Base64 编码的文本格式，以 “—–BEGIN CERTIFICATE—–” 开头，以 “—–END CERTIFICATE—–” 结尾。
  • DER: 二进制格式。
  • PKCS#12 (PFX): 可以同时包含私钥和证书的二进制格式，通常用于 Windows 系统。

• 证书链: 一个完整的证书链由最终用户证书、中间 CA 证书和根 CA 证书组成。浏览器通过验证证书链来确认最终用户证书的可信性。

二、 OpenSSL 安装与配置

在开始生成和管理证书之前，你需要确保 OpenSSL 已经正确安装在你的系统中。

• Linux: 大多数 Linux 发行版都自带 OpenSSL，如果没有，可以使用包管理器安装：

  • Debian/Ubuntu: sudo apt-get install openssl
  • CentOS/RHEL: sudo yum install openssl
  • Fedora: sudo dnf install openssl

• Windows: 可以从 OpenSSL 官网下载预编译的二进制文件，或者使用 Chocolatey 等包管理器安装：

  • Chocolatey: choco install openssl

• macOS: 可以使用 Homebrew 包管理器安装：

  • Homebrew: brew install openssl

安装完成后，你可以通过在命令行中输入 openssl version 来验证安装是否成功。

OpenSSL 配置文件 (openssl.cnf)

OpenSSL 的行为可以通过配置文件进行定制。默认配置文件通常位于：

• Linux: /etc/ssl/openssl.cnf
• Windows: 通常与 OpenSSL 可执行文件位于同一目录。
• macOS: 使用 Homebrew 安装时， 配置文件路径通常在 /usr/local/etc/openssl@<version>/openssl.cnf.

你可以根据需要修改配置文件中的参数，如默认的密钥长度、哈希算法、证书扩展等。

三、 使用 OpenSSL 生成密钥

密钥是证书的基础，OpenSSL 支持生成多种类型的密钥，如 RSA、DSA、ECC 等。

1. 生成 RSA 私钥:

   bash
openssl genrsa -out private.key 2048

   • genrsa: 生成 RSA 密钥的命令。
   • -out private.key: 指定输出的私钥文件名为 private.key。
   • 2048: 指定密钥长度为 2048 位。建议至少使用 2048 位或更长的密钥长度。

   你还可以使用 -aes256 或 -des3 选项对私钥进行加密，以增加安全性：

   bash
openssl genrsa -aes256 -out private.key 2048

   这将提示你输入一个密码来保护私钥。

2. 生成 ECC 私钥:

   bash
openssl ecparam -name prime256v1 -genkey -noout -out private.key

   • ecparam: 生成 ECC 参数的命令。
   • -name prime256v1: 指定使用 prime256v1 曲线（也称为 secp256r1）。
   • -genkey: 生成密钥。
   • -noout: 不输出参数信息。
   • -out private.key: 指定输出的私钥文件名为 private.key。

   你也可以像 RSA 一样，使用 -aes256 或 -des3 选项对 ECC 私钥进行加密。

3. 从私钥中提取公钥：
   bash
openssl rsa -in private.key -pubout -out public.key

   • -in private.key: 输入私钥文件
   • -pubout: 输出公钥
   • -out public.key: 指定输出公钥文件。

四、 使用 OpenSSL 生成证书

生成密钥后，你可以使用 OpenSSL 生成不同类型的证书。

1. 生成自签名证书:

   bash
openssl req -new -x509 -key private.key -out certificate.crt -days 365

   • req: 生成证书请求或证书的命令。
   • -new: 生成新的证书请求。
   • -x509: 直接生成自签名证书，而不是生成证书请求。
   • -key private.key: 指定使用的私钥文件。
   • -out certificate.crt: 指定输出的证书文件名为 certificate.crt。
   • -days 365: 指定证书的有效期为 365 天。

   执行该命令后，OpenSSL 会提示你输入一些信息，如国家、省份、城市、组织名称、通用名称（Common Name）等。对于服务器证书，通用名称应填写服务器的域名或 IP 地址。

2. 生成证书签名请求 (CSR):

   bash
openssl req -new -key private.key -out request.csr

   • req: 生成证书请求的命令。
   • -new: 生成新的证书请求。
   • -key private.key: 指定使用的私钥文件。
   • -out request.csr: 指定输出的证书请求文件名为 request.csr。

   与生成自签名证书类似，OpenSSL 会提示你输入证书信息。生成的 CSR 文件可以提交给 CA 进行签名，以获得受信任的证书。

3. 使用 CA 签发证书:

   如果你有一个 CA，可以使用 OpenSSL 对 CSR 进行签名，生成 CA 签发的证书。

   bash
openssl x509 -req -in request.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out certificate.crt -days 365

   • x509: 生成或处理 X.509 证书的命令。
   • -req: 指定输入为证书请求。
   • -in request.csr: 指定输入的证书请求文件。
   • -CA ca.crt: 指定 CA 的证书文件。
   • -CAkey ca.key: 指定 CA 的私钥文件。
   • -CAcreateserial: 自动创建序列号文件。
   • -out certificate.crt: 指定输出的证书文件名为 certificate.crt。
   • -days 365: 指定证书的有效期为 365 天。

   注意: 这个命令假设你已经有一个 CA 证书 (ca.crt) 和 CA 私钥 (ca.key)。

4. 创建自签名 CA
   如果需要模拟 CA 证书颁发机构，也可以使用 openssl 创建自签名 CA.

   • 创建 CA 私钥
     bash
openssl genrsa -out ca.key 2048
   • 创建 CA 证书
     bash
openssl req -new -x509 -key ca.key -out ca.crt -days 3650

五、 证书管理与应用

1. 查看证书信息:

   bash
openssl x509 -in certificate.crt -text -noout

   • x509: 处理 X.509 证书的命令。
   • -in certificate.crt: 指定输入的证书文件。
   • -text: 以文本格式输出证书信息。
   • -noout: 不输出证书本身。

   该命令会显示证书的详细信息，包括颁发者、主体、有效期、公钥、扩展等。

2. 验证证书:

   bash
openssl verify -CAfile ca.crt certificate.crt

   • verify: 验证证书的命令。
   • -CAfile ca.crt: 指定 CA 证书文件，用于验证证书链。
   • certificate.crt: 指定要验证的证书文件。

   如果证书有效且由指定的 CA 签发，该命令会输出 certificate.crt: OK。

3. 转换证书格式:

   • PEM 转 DER:

     bash
openssl x509 -in certificate.pem -outform DER -out certificate.der

   • DER 转 PEM:

     bash
openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

   • PEM 转 PKCS#12 (PFX):

     bash
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca.crt

     • pkcs12: 处理 PKCS#12 文件的命令。
     • -export: 导出 PKCS#12 文件。
     • -out certificate.pfx: 指定输出的 PKCS#12 文件名。
     • -inkey private.key: 指定私钥文件。
     • -in certificate.crt: 指定证书文件。
     • -certfile ca.crt: 指定 CA 证书文件（可选，用于包含证书链）。
     • 执行后会提示你输入导出密码，请务必记住，后续导入 pfx 证书需要。

   • PKCS#12 (PFX) 转 PEM:

     bash
openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

     • -nodes: 不加密私钥.

4. 证书应用:

   • Web 服务器 (Apache/Nginx): 将证书和私钥配置到 Web 服务器的配置文件中，以启用 HTTPS。
   • 邮件服务器 (Postfix/Sendmail): 将证书和私钥配置到邮件服务器的配置文件中，以启用 TLS 加密。
   • VPN: 将证书和私钥用于 VPN 客户端和服务器的身份验证和加密。
   • 代码签名: 使用代码签名证书对软件代码进行签名。

六、 证书吊销

如果私钥泄露或证书不再需要，应及时吊销证书。

1. 生成证书吊销列表 (CRL):

   bash
openssl ca -gencrl -keyfile ca.key -cert ca.crt -out ca.crl

   • ca: CA 相关操作的命令。
   • -gencrl: 生成 CRL。
   • -keyfile ca.key: 指定 CA 的私钥文件。
   • -cert ca.crt: 指定 CA 的证书文件。
   • -out ca.crl: 指定输出的 CRL 文件名。

2. 吊销证书:

   bash
openssl ca -revoke certificate.crt -keyfile ca.key -cert ca.crt

   • -revoke certificate.crt: 吊销指定的证书。

   吊销证书后，需要重新生成 CRL，并将其发布到 CRL 分发点，以便客户端可以获取最新的 CRL 并验证证书是否已被吊销。

七、 总结与建议

OpenSSL 是一个功能强大的证书管理工具，可以满足各种证书生成和管理需求。以下是一些总结和建议：

• 密钥安全: 私钥是证书安全的基础，务必妥善保管，防止泄露。
• 证书有效期: 定期检查证书的有效期，并在到期前及时更新。
• CA 选择: 对于生产环境，选择受信任的 CA 签发证书。
• 证书链: 确保客户端可以验证完整的证书链。
• 证书吊销: 及时吊销泄露或不再需要的证书。
• 自动化: 对于大规模的证书管理，可以考虑使用自动化工具或脚本。

通过学习和实践，你可以熟练掌握 OpenSSL 证书生成和管理技术，为你的网络应用提供可靠的安全保障。请记住，安全是一个持续的过程，需要不断学习和更新知识，以应对不断变化的安全威胁。