本篇主要介绍了基于OpenSSL的PKI的PKI数字证书系统实现,利用OpenSSL建立一个CA中心的详细解决方案和建立的具体步骤。 1、PKI数字证书系统设计PKI数字证书系统主要包括证书颁发机构CA、注册机构RA和公共查询数据库三个部分,基本框架如下:
2、OpenSSL对传输文件公钥加密私钥解密OpenSSL RSA私钥生成: $ openssl genrsa -out private.pem 2048 OpenSSL RSA公钥生成: $ openssl rsa -in ./private.pem -pubout -out public.pem 创建file.txt为例,来加密file.txt内容 用公钥进行加密: $openssl rsautl -encrypt -in file.txt -inkey public.pem -pubin -out message.en 用私钥进行解密: $openssl rsautl -decrypt -in message.en -inkey private.pem -out message.txt 读取message.txt内容与file.txt进行对照即可验证 3、OpenSSL对传输文件私钥签名公钥验证OpenSSL RSA私钥生成:$ openssl genrsa -out private.pem 2048 OpenSSL RSA公钥生成:$ openssl rsa -in ./private.pem -pubout -out public.pem 以file.txt为例,实现对文件私钥签名公钥验证 用私钥签名: $openssl dgst -sign private.pem -md5 -out message.sign file.txt 用公钥验签: $openssl dgst -verify public.pem -md5 -signature message.sign file.txt 终端显示Verified OK即验签成功 4、CA实现过程-总述OpenSSL实现了安全套接层协议(SSL V2/V3)和传输层安全协议(TLS V1),并带有一个功能完整的、具有通用性的加密技术库。OpenSSL工具包分为三个部分:SSL函数库、Crypto函数库和命令行工具。通过使用OpenSSL构建CA认证中心。 5、CA实现过程-环境搭建Windows平台下安装OpenSSL安装包开源平台: http:///products/Win32OpenSSL.html 可以选择Win64 OpenSSL v1.1.1g Light EXE/MSI版本,对于EXE版本,需要在电脑端配置后环境变量等,等安装配置好之后,在cmd终端输入: $ openssl version 终端显示如OpenSSL 1.1.1g 等就已经安装完成 6、CA实现过程-生成数字证书-生成CA私钥以及自签名根证书实现自建立CA,并用自建的CA对产生的数字证书进行签名。生成CA私钥以及自签名根证书具体过程如下: (1).生成CA私钥ca-key.pem; 打开交互模式$ openssl 生成CA私钥: OpenSSL> genrsa -out ca-key.pem 1024 (2).生成待签名证书ca-req.csr; 创建证书请求: OpenSSL> req -new -out ca-req.csr -key ca-key.pem (3).用CA私钥进行自签名,产生x509证书文件ca-cert.pem; 自签署证书: OpenSSL> x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365 (4).生成CA证书:ca-cert.pfx OpenSSL> pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca-cert.pfx 在Windows端可以直接安装CA根证书 7、CA实现过程-生成数字证书-生成CA私钥以及自签名根证书
8、CA实现过程-生成数字证书-生成服务端证书生成服务端证书具体过程如下: (1).生成server私钥; 生成server私钥: OpenSSL> genrsa -out server-key.pem 1024 (2).生成待签名证书; 创建证书请求: OpenSSL> req -new -out server-req.csr -key server-key.pem (3).用CA私钥进行签名,产生x509证书文件; 自签署证书: OpenSSL> x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365 ( 一般情况在根CA电脑端执行) (4).将生成的证书保存起来; 9、CA实现过程-生成数字证书-生成客户端证书生成服务端证书具体过程与生成服务器证书类似: (1).生成client私钥; 生成server私钥: OpenSSL> genrsa -out client-key.pem 1024 (2).生成待签名证书; 创建证书请求: OpenSSL> req -new -out client-req.csr -key client-key.pem (3).用CA私钥进行签名,产生x509证书文件; 自签署证书: OpenSSL> x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365 ( 一般情况在根CA电脑端执行) (4).将生成的证书保存起来; 10、创建Https进行服务器证书测试在终端执行: $ node index.js
在网站输入: https://localhost:8000/ 查询证书
|
|