<h1>CA 认证过程</h1>
<p>CA 概述:Certificate Authority 的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书。CA 认证的流程和公安局派出所颁发身份证的流程一样<br> 认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。<br> CA 证书作用:身份认证,实现数据的不可否认性。<br> 我们先回顾一下身份证的办理过程:<br> 带上户口本(证明你合法)-》当地派出所(认证机构)-》签发证书(审核有效信息)-》你去领证书<br> 接下来我们回顾数字证书认证过程如下图:</p>
<p>D686-E0CF-D309-349E 8A05-3594-ECA5-D0EA B101-B6E7-8A9E-79B8 3698-89DD-C9E3-F045</p>
<p><img alt="" height="498" src="https://beijingoptbbs.oss-cn-beijing.aliyuncs.com/cs/5606289-5c02b5ee0911f732a8d7be4411898546.png" width="794"></p>
<p>证书请求文件:CSR 是 Cerificate Signing Request 的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由 CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR 文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。</p>
<p>总结:证书签名过程<br> 1、 生成请求文件<br> 2、 CA 确认申请者的身份真实性<br> 3、 CA 使用根证书的私钥加密请求文件,生成证书<br> 4、 把证书传给申请者</p>
<p>用户使用 CA 证书确认服务器身份过程如下图</p>
<p><img alt="" height="499" src="https://beijingoptbbs.oss-cn-beijing.aliyuncs.com/cs/5606289-37c98dc54f8a15a00d061f02196f1df4.png" width="739"></p>
<p>1、请求文件发给 centos60 CA 认证中心<br> 2、CA 认证 (用 CA 的私钥加密 centos70 的请求文件), 得到加密后的文件,这个文件就是centos70 的证书 ),CA 认证中心颁发给 centos70 加密后的数字证书<br> 3、用户访问 centos70 并向 centos70 索要数字证书<br> 4、用户拿到数字证书后,用浏览器中 CA 的公钥解密 centos70 的证书,解开后得到 centos70 的公钥和标识(主机名,国家,省,组织等信息),从而确认centos70 的身份。</p>
<p>证书价格:</p>
<p><a href="https://buy.wosign.com/">https://buy.wosign.com/</a><br><img alt="" height="709" src="https://beijingoptbbs.oss-cn-beijing.aliyuncs.com/cs/5606289-5fe42529968f38285fde05a1b0fe59d7.png" width="1040"></p>
<p><a href="https://www.shuzizhengshu.com/html/chanpin/SSLzhengshu/">https://www.shuzizhengshu.com/html/chanpin/SSLzhengshu/</a></p>
<p><a href="https://freessl.cn/">https://freessl.cn/</a></p>
<h1>实战 1:搭建 CA 认证中心</h1>
<p>1、安装 CA 认证软件包中心:<br> [root@centos60 ~]# rpm -qf `which openssl`<br> openssl-1.0.2k-16.el7.x86_64</p>
<p>2、配置一个自己的 CA 认证中心。生成 CA 的根证书和私钥。 根证书中包括:CA 的公钥<br> [root@centos60 ~]# vim /etc/pki/tls/openssl.cnf</p>
<p><img alt="" height="29" src="https://beijingoptbbs.oss-cn-beijing.aliyuncs.com/cs/5606289-5dd0cd20cdf5b2870215cd78dc8c3dd5.png" width="330"></p>
<p>3、生成 CA 的公钥证书和私钥。<br> [root@centos60 ~]# /etc/pki/tls/misc/CA -h<br> usage: /etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify</p>
<p>选项 :<br> -newcert 新证书<br> -newreq 新请求<br> -newreq-nodes 新请求节点<br> -newca 新的 CA 证书<br> -sign 签证<br> -verify 验证</p>
<p>[root@centos60 ~]# /etc/pki/tls/misc/CA -newca</p>
<pre class="blockcode"><code>[root@centos60 ~]# /etc/pki/tls/misc/CA -newca
CA certificate filename (or enter to create) 直接回车
Making CA certificate ...
Generating a 2048 bit RSA private key
................+++
...............+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase:123456 输入密码,保护私钥
Verifying - Enter PEM pass phrase: 再次输入密码
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN 国家
State or Province Name (full name) []:beijing 城市
Locality Name (eg, city) [Default City]:haidian 市区
Organization Name (eg, company) [Default Company Ltd]:centos 公司名
Organizational Unit Name (eg, section) []:IT 部门
Common Name (eg, your name or your server's hostname) []:centos.com 您的姓名或您的服务器的主机名用来 指定 CA 认证中心服务器的名字
Email Address []:man@163.com
Please enter the following 'extra' attributes
to be sent with your certificate request添加一个“额外”的属性,让客户端发送 CA 证
书,请求文件时,要输入的密码
A challenge password []:直接回车
An optional company name []:直接回车
Using configuration from /etc/p |
|
转播
