概述
GitHub地址:https://github.com/cloudflare/cfssl
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
生成自签证书的方式有多种,CFSSL支持签发三种类型的证书:client证书、server证书以及集群成员之间的peer证书。推荐使用cfssl工具或者openssl工具来生成,openssl也是开源的证书生成工具。
生成证书基本概念
CA(证书颁发机构)
CA(Certificate Authority)是 PKI(公钥基础设施)体系的核心信任锚点,负责:
- 证书签名:验证申请者身份后,使用自己的私钥为其颁发数字证书。
- 信任分发:通过公开的根证书(Root CA),让客户端信任其签署的所有证书。
- 证书管理:包括证书颁发、更新、撤销和状态查询(OCSP/CRL)。
CA证书类型类型分为三类,分别是:
- 根 CA(Root CA):
自签名证书,位于信任链顶端。
通常离线存储,极少直接签署终端用户证书。 - 中间 CA(Intermediate CA):
由根 CA 签署,用于分担证书签署工作。
即使私钥泄露,影响范围也仅限于其签署的证书。 - 终端 CA:
直接签署服务器 / 客户端证书的 CA。
安全规范实践:
- 分层设计:使用根 CA → 中间 CA → 终端证书的三级结构。
- 私钥保护:根 CA 私钥必须离线存储(如 HSM 硬件安全模块)。
- 定期轮换:中间 CA 证书有效期通常为 3-5 年,需定期更新。
CSR(证书签名请求)
CSR(Certificate Signing Request)是客户端向 CA 提交的申请文件,创建证书前需要先生成 CSR。
CSR文件通常包含以下信息:
- 公钥:申请者生成的公钥。
- 身份信息:如域名、组织名称、国家代码等。
- 扩展字段:如 SAN(Subject Alternative Name)、密钥用途等。
生产CSR的注意事项:
- 私钥绝对保密:CSR 生成过程中产生的私钥需严格保密,不可泄露。
- 信息准确性:CSR 中的域名(CN/SAN)必须与服务器实际域名一致,否则 TLS 握手会失败。
证书配置文件
主要用来定义证书的使用场景、有效期等参数,CFSSL使用 JSON 格式(如 ca-config.json)的证书配置文件
三者工作流程:
Linux安装cfssl工具
cfssl依赖三个工具包,分别是:cfssl、cfssljson、cfss-certinfo
-
cfssl:cfssl 是工具集的核心,提供了证书生命周期管理的所有功能:
- 证书生成:创建自签名证书、CA 证书和用户证书。
- 证书签名:处理证书签名请求(CSR)并颁发证书。
- 配置管理:使用 JSON 配置文件定义证书策略和使用场景。
- CA 管理:创建和管理证书颁发机构(CA)层次结构。
- OCSP/CRL:生成在线证书状态协议(OCSP)响应和证书撤销列表(CRL)。
-
cfssljson:专门用于处理 cfssl 输出的 JSON 数据,主要功能包括:
- 解析 JSON 输出:将 cfssl 生成的 JSON 格式证书、密钥和 CSR 转换为单独的文件。
- 文件保存:自动创建并保存证书(.pem)、私钥(.key)和 CSR(.csr)文件。
-
cfssl-certinfo:用于查看和验证证书的详细信息,功能包括:
- 证书解析:显示证书的元数据(如有效期、颁发者、主题、公钥等)。
- 证书链验证:检查证书的签名链是否有效。
- 格式转换:将证书以人类可读的格式输出。
下载工具
curl -L -o /usr/local/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -L -o /usr/local/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64授予执行权限
chmod +x /usr/local/bin/cfssl*cfssl gencert命令详解
cfssl gencert 是 CloudFlare PKI 工具集中用于生成证书签名请求(CSR)和证书的核心命令。
核心参数:
-
-ca [path]:指定用于签名的 CA 证书文件路径(PEM 格式)。
示例:-ca=ca.pem
-
-ca-key [path]:指定 CA 的私钥文件路径(PEM 格式)。
示例:-ca-key=ca-key.pem
-
-config [path]:指定证书签名配置文件(JSON 格式),定义证书的有效期、用途等策略。
示例:-config=ca-config.json
-
-profile [name]:指定使用配置文件中的哪个签名策略。对应CA配置文件中的profiles字段,其值可以为server、client、peer、ca、kubernets等
示例:-profile=server
-
-hostname [list]:指定证书的 Subject Alternative Name (SAN) 字段,包含域名和 IP 地址,多个值用逗号分隔
示例:-hostname=example.com,www.example.com,192.168.1.1
-
-cn [name]:指定证书的 Common Name (CN)
示例:-cn="My Server"
-
-key-algo [algo]:指定密钥算法,支持 rsa、ecdsa 等,默认rsa
示例:-key-algo=rsa
-
-key-size [bits]:指定密钥长度(RSA 建议 2048+,ECDSA 建议 256+)
示例:-key-size=2048
-
-initca:生成自签名的根 CA 证书。
示例:cfssl gencert -initca ca-csr.json
-
-self-signed:生成自签名证书(非 CA 证书)
示例:cfssl gencert -self-signed server.json
实战:生成证书
创建根CA文件
# 根ca文件,需要将注释去掉
[root@master ~/cfssl]# cat ca-config.json
{
"signing": {
"default": {
# 配置默认证书有效期为10年,通常用于根CA证书
"expiry": "87600h"
},
"profiles": {
# 定义server端的证书
"server": {
# 1年有效期
"expiry": "8760h",
"usages": ["signing", "key encipherment", "server auth"]
},
# 定义client端的证书,有效期为一年
"client": {
"expiry": "8760h",
"usages": ["signing", "key encipherment", "client auth"]
},
# 定义peer端的证书,有效期为一年
"peer": {
"expiry": "8760h",
"usages": ["signing", "key encipherment", "server auth", "client auth"]
},
# 定义kubernetes的证书,有效期为一年
"kubernetes": {
"expiry": "8760h",
"usages": ["signing", "key encipherment", "server auth", "client auth"]
},
# 定义ca的证书,有效期为五年
"ca": {
"expiry": "43800h",
"usages": ["signing", "key encipherment", "server auth", "client auth"]
}
}
}
}配置文件字段说明:
usages:指定的证书用途
- signing:允许证书用于数字签名。数字签名可以确保数据在传输过程中不被篡改,并且可以验证数据的来源。
- key encipherment:允许证书用于加密密钥。在 TLS 握手过程中,客户端和服务器会交换会话密钥,这个过程通常使用证书进行加密。
- server auth:专门用于服务器身份验证。当客户端连接到服务器时,服务器会出示自己的证书,客户端会验证这个证书是否由信任的 CA 颁发,以及证书中的域名是否与自己要访问的域名一致。
- client auth:专门用于客户端身份验证。在双向 TLS 中,服务器也会要求客户端提供证书,以验证客户端的身份。
各端证书使用场景:
- server:HTTPS 网站、SMTP、IMAP、POP3 等邮件服务器、VPN 服务器、任何需要向客户端证明自己身份的服务
- client:企业内部应用,要求员工使用客户端证书登录、API 访问,使用客户端证书进行身份验证、安全邮件客户端,使用证书进行身份验证
- peer:区块链网络中的节点通信、分布式系统中节点间的安全通信、金融机构之间的安全数据交换
- kubernetes:Kubernetes 组件证书(如 API Server、etcd)。
- ca:中间 CA 证书(需配合 -ca 参数使用)。
创建根 CA CSR 配置文件
# 定义CSR文件,需要将json文件中的注释去掉
[root@master ~/cfssl]# cat ca-csr.json
{
# 根 CA 的通用名称,对于服务器证书,CN 通常是域名(如www.example.com);
# 对于 CA 证书,CN 是 CA 的标识名称。
"CN": "My Root CA",
"key": {
# 加密算法
"algo": "rsa",
# 密钥长度
"size": 4096
},
"names": [
{
# 国家代码,CN代表是中国
"C": "CN",
# 省份
"ST": "Beijing",
# 城市或地区
"L": "Beijing",
# 组织名称(Organization),可以理解成公司名称
"O": "rootca",
# 组织单位(Organizational Unit),可以理解成公司部门
"OU": "ca"
}
],
# 根 CA 证书的配置,指定有效期为10年
"ca": {
"expiry": "87600h"
}
}生成根 CA 证书和私钥
[root@master ~/cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca/ca
2025/05/15 11:23:34 [INFO] generating a new CA key and certificate from CSR
2025/05/15 11:23:34 [INFO] generate received request
2025/05/15 11:23:34 [INFO] received CSR
2025/05/15 11:23:34 [INFO] generating key: rsa-4096
2025/05/15 11:23:34 [INFO] encoded CSR
2025/05/15 11:23:34 [INFO] signed certificate with serial number 492661591325776778969123330542788728689689366584命令解释:
cfssl gencert:cfssl 工具的子命令,用于生成证书
-initca:指定生成自签名的根 CA 证书
ca-csr.json:证书签名请求(CSR)的配置文件路径,对应上面创建的 ca-csr.json
cfssljson:处理 cfssl 生成的 JSON 输出并转换为文件
-bare ca:指定输出文件名前缀为 ca,会生成以下三个文件:
ca.pem:根 CA 证书(自签名)
ca-key.pem:根 CA 的私钥(必须严格保密!)
ca.csr:证书签名请求(通常自签名 CA 不需要保留此文件)查看当前的目录:
[root@master ~/cfssl]# tree
.
├── ca
│ ├── ca.csr
│ ├── ca-key.pem # 根 CA 私钥(严格保密!)
│ └── ca.pem #根 CA 证书(公钥,需分发给客户端)
├── ca-config.json
├── ca-csr.json生成中间CA证书和私钥
中间CA证书文件
[root@master ~/cfssl]# cat intermediate-csr.json
{
"CN": "My Intermediate CA",
"key": {
"algo": "rsa",
"size": 4096
},
"names": [
{
"C": "CN",
"ST": "Beijing",
"L": "Beijing",
"O": "baidu",
"OU": "Intermediate CA"
}
]
}生成中间 CA 证书和私钥
[root@master ~/cfssl]# cfssl gencert \
-ca=ca/ca.pem \
-ca-key=ca/ca-key.pem \
-config=ca-config.json \
-profile=ca \
intermediate-csr.json | cfssljson -bare intermediate/intermediate
2025/05/15 11:29:49 [INFO] generate received request
2025/05/15 11:29:49 [INFO] received CSR
2025/05/15 11:29:49 [INFO] generating key: rsa-4096
2025/05/15 11:29:49 [INFO] encoded CSR
2025/05/15 11:29:49 [INFO] signed certificate with serial number 722124812765078011706922545691404003361157472292
2025/05/15 11:29:49 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").查看文件
[root@master ~/cfssl]# tree
.
├── ca
│ ├── ca.csr
│ ├── ca-key.pem # 根 CA 私钥(严格保密!)
│ └── ca.pem #根 CA 证书(公钥,需分发给客户端)
├── ca-config.json
├── ca-csr.json
├── intermediate
│ ├── intermediate.csr
│ ├── intermediate-key.pem # 中间 CA 私钥(需保密)
│ └── intermediate.pem #中间 CA 证书
└── intermediate-csr.json生成服务器证书
配置服务器证书文件
[root@master ~/cfssl]# cat server-csr.json
{
"CN": "*.huangsir-devops.cn",
"key": {
"algo": "rsa",
"size": 2048
},
"hosts": [
"*.huangsir-devops.cn",
"www.huangsir-devops.cn",
"api.huangsir-devops.cn",
"localhost",
"127.0.0.1",
"10.37.97.56"
]
}使用中间CA签署服务器证书
[root@master ~/cfssl]# cfssl gencert \
-ca=intermediate/intermediate.pem \
-ca-key=intermediate/intermediate-key.pem \
-config=ca-config.json \
-profile=server \
server-csr.json | cfssljson -bare server/server
2025/05/15 11:37:29 [INFO] generate received request
2025/05/15 11:37:29 [INFO] received CSR
2025/05/15 11:37:29 [INFO] generating key: rsa-2048
2025/05/15 11:37:30 [INFO] encoded CSR
2025/05/15 11:37:30 [INFO] signed certificate with serial number 666935063085228543415452828659279667302813819643查看生成的文件
[root@master ~/cfssl]# tree
.
├── ca
│ ├── ca.csr
│ ├── ca-key.pem
│ └── ca.pem
├── ca-config.json
├── ca-csr.json
├── intermediate
│ ├── intermediate.csr
│ ├── intermediate-key.pem
│ └── intermediate.pem
├── intermediate-csr.json
├── server
│ ├── server.csr
│ ├── server-key.pem #服务端私钥
│ └── server.pem #服务端公钥
└── server-csr.jsonnginx测试配置
[root@master /data/nginx]# cat /etc/nginx/conf.d/test1.conf
server{
listen 443 ssl;
server_name www.huangsir-devops.cn;
# 配置公钥证书
ssl_certificate /etc/ssl/server/server.pem;
# 配置私钥证书
ssl_certificate_key /etc/ssl/server/server-key.pem;
# 推荐的 SSL 协议和加密算法(安全配置)
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
root /data/nginx/;
location / {
index index.html;
}
}
# http跳转到https
server {
listen 80;
server_name www.huangsir-devops.cn;
return 301 https://www.huangsir-devops.cn$request_uri;
}生成客户端证书
配置客户端证书文件
[root@master ~/cfssl]# cat client-csr.json
{
"CN": "client",
"key": {
"algo": "rsa",
"size": 2048
}
}使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert \
-ca=intermediate/intermediate.pem \
-ca-key=intermediate/intermediate-key.pem \
-config=ca-config.json \
-profile=client \
client-csr.json | cfssljson -bare client/client
# 查看证书
[root@master ~/cfssl]# tree
.
├── ca
│ ├── ca-key.pem
│ ├── ca.csr
│ └── ca.pem
├── ca-config.json
├── ca-csr.json
├── client
│ ├── client-key.pem # 公钥
│ ├── client.csr
│ └── client.pem # 私钥证书
├── client-csr.json
├── intermediate
│ ├── intermediate-key.pem
│ ├── intermediate.csr
│ └── intermediate.pem
├── intermediate-csr.json
├── server
│ ├── server-key.pem
│ ├── server.csr
│ └── server.pem
└── server-csr.json
4 directories, 17 files生成K8s证书
K8s证书有很多类型,
生成API Server证书
配置客户端证书文件
[root@master ~/cfssl]# cat k8s-apiserver-csr.json
{
"CN": "kubernetes-apiserver",
"key": {
"algo": "rsa",
"size": 2048
},
"hosts": [
# Kubernetes服务IP (Service Cluster IP Range)
"10.0.0.30",
"10.0.0.31",
"10.0.0.32"
# API Server IP
"192.168.1.10",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local",
"localhost",
"127.0.0.1"
]
}使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert \
-ca=intermediate/intermediate.pem \
-ca-key=intermediate/intermediate-key.pem \
-config=ca-config.json \
-profile=kubernetes \
k8s-apiserver-csr.json | cfssljson -bare api-server/api-server持续更新中