Linux之数字证书

《Ubuntu Linux运维从零开始学（Linux技术丛书）》(肖志健)【摘要书评试读】- 京东图书 (jd.com)

随着网络环境的恶化，人们已经逐渐抛弃网络上面的明文数据传输，而是采用各种加密方式将数据加密后传输。通过密钥加密是目前比较流行的加密方式。系统利用公钥将数据加密，对方收到数据后通过私钥将数据解密。这些操作都需要用到证书，所以证书在保证网络安全方面有着不可代替的作用。本节将介绍证书的类型以及创建方法。

12.4.1 数字证书

公开密钥加密最常见的用途就是通过安全套接字来加密传输数据。例如HTTPS就是将原本明文传输的HTTP协议通过SSL加密。通过SSL可以使得本身并不支持数据加密的协议能够将数据加密后再进行传输。

公钥通常通过证书来分发。一般情况下，证书需要认证机构来签发。而认证机构就是一个受信任的第三方机构。由认证机构来确认证书中包含的内容是准确的、真实的。

从认证机构获得一个数字证书的过程非常简单，其基本步骤如下：

用户创建一个私钥和公钥密钥对。

基于公钥创建一个数字证书请求。该请求中包含服务器和公司信息。

向认证机构发送证书请求。

当认证机构确认用户提供的资料之后，将数字证书颁发给用户。

用户将数字证书安装到服务器，并使用该证书配置相应的应用程序。

12.4.2 生成密钥

在申请数字证书之前，用户需要自己生成密钥对。根据不同的用途，密钥分为密码保护的密钥和没有密码保护的密钥。如果申请的证书用于某些守护进程，例如Apache、Postfix以及Tomcat等，则应该生成没有密码保护的密钥，这样的话用户就不需要在每次启动服务时输入密码。但是，没有密码保护的密钥相对而言是不安全的，所以，除应用于守护进程外，生成的密钥都应该通过密码保护。

密钥可以通过OpenSSL软件包来完成，该软件包提供了一个名称为openssl的命令。

下面的命令用于创建一个密码保护的私钥：

liu@ubuntu:~$ openssl genrsa -des3 -out server.key 2408
Generating RSA private key, 2408 bit long modulus
........................................+++
......+++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

其中，genrsa为openssl的子命令，表示生成一个RSA算法私钥。-des3表示使用DES3加密算法保护RSA私钥。如果不指定-des3选项，则生成的私钥没有密码保护。-out选项用来指定私钥文件名。最后的数字2408为生成的私钥的位数。

当执行完以上命令之后，生成的私钥便以server.key为文件名存储在当前目录中。用户可以使用cat命令查看其内容，如下所示：

liu@ubuntu:~$ cat server.key 
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BDF4938AA6D0EFF

BtbHjd5umBfZB3YWPcnDo500RZaYYcjG334cXhc7TPFGRG7J76iSMYTjh29GWMIg
Vdxkh21kYay4LBbk8ljrVXUaq26BDJoKBMekavWLxxbw/uhZiG4bT1K3e5LYpO0e
GWhxmIDzhKUMuYG5lXBT4YwH5lQjOfp9pxFcroiE978ESxG6gddGp4ty+ONyU5wb
fQGJuNTCvre1VvZokS8EFWiiorSsl9yT0TxOLkyBUCqUzcHXO3fLiwO5RKHx28Mf
...
nTyCCAn8Ks4=
-----END RSA PRIVATE KEY-----

接下来，用户可以使用openssl命令从server.key文件生成一个没有密码保护的私钥，如下所示：

liu@ubuntu:~$ openssl rsa -in server.key -out server-nopasswd.key
Enter pass phrase for server.key:
writing RSA key

其中，rsa子命令表示管理RSA密钥，-in选项用来指定输入的密钥文件，-out选项指定输出的密钥文件。在输出密钥的过程中，需要用户输入前面设置的保护密码。

12.4.3 生成证书签署请求

证书签署请求（Certificate Signing Request，CSR），即通过前面生成的私钥生成一个数字证书请求。该操作需要使用openssl命令的req子命令。

例如，下面的命令用于以前面创建的私钥生成一个证书签署请求：

liu@ubuntu:~$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Demo
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:www.demo.com
Email Address []:admin@demo.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

在生成请求的过程中，会要求用户输入一系列的信息，包括国家名称、省名、城市、组织机构、域名以及电子邮件地址等。此外，还要求用户输入一个可选的密码和公司名称。当所有的问题都回答完毕之后，一个包含证书请求的名称为server.csr的文件便生成了。用户可以将该文件提交给证书认证机构，认证机构会根据该文件生成一个数字证书发送给用户。

除通过认证机构申请证书外，用户也可以创建自己签署的数字证书。当然，由于自签署证书并没有经过第三方的认证，因此不可以用在生产环境中，仅仅作为开发或者测试使用。

下面的命令用于生成一个自签名的数字证书：

liu@ubuntu:~$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=Guangdong/L=Guangzhou/O=Demo/OU=IT/CN=www.demo.com/emailAddress=admin@demo.com
Getting Private key
Enter pass phrase for server.key:

在执行上面的命令的时候，会要求用户输入私钥的密码，输入完成之后，生成的证书便保存在server.crt文件中。

12.4.4 安装证书

数字证书的安装比较简单，直接将证书和私钥复制到指定的目录即可，如下所示：

liu@ubuntu:~$ sudo cp server.crt /etc/ssl/certs/
liu@ubuntu:~$ sudo cp server.key /etc/ssl/private/

安装完成之后，用户可以在其他应用系统中使用该数字证书。例如在Apache中启用HTTPS。