CA搭建與證書.ppt

耿顯維,CA服務(wù)器的搭建與證書的管理應(yīng)用,隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展, 網(wǎng)絡(luò)中的安全問題日益受到人們的重視。PKI 公鑰基礎(chǔ)設(shè)施是目前比較成熟、完善的互聯(lián)網(wǎng)絡(luò)安全解決方案，但PKI 實(shí)施起來比較繁瑣, 并且當(dāng)前實(shí)現(xiàn)PKI 的商用軟件價(jià)格較為昂貴, 這都阻礙了PKI 的廣泛應(yīng)用。 因此我采用了開源PKI項(xiàng)目OpenCA軟件完成了CA服務(wù)器的搭建。,0. 引言,OpenCA可實(shí)現(xiàn)的功能： 密鑰生成 密鑰分配 證書簽發(fā) 證書作廢,1. Openca概述,OpenCA 由三個(gè)主要部分組成, 即： CA RA PUB,1. Openca概述,證書簽發(fā),管理申請,提交申請,OpenCA主要加載模塊： OpenSSL 提供加密算法和HTTPS訪問 Apache 提供WEB服務(wù) MySQL 提供后臺數(shù)據(jù)庫 PerL 提供腳本語言支持 OpenLDAP 提供證書存儲,1. Openca概述,OpenCA 1.3.0 所需求的軟件環(huán)境： Linux Kernel 2.6.18以上 Perl 5.8.4以上 MySQL 5.1.61-4以上 OpenSSL 1.0.0以上 LDAP library Perl module：XML-Parser CPAN Apache 2.2.15以上,2. Openca安裝過程,/實(shí)際安裝中為保證兼容性 我選擇將上述所有軟件更新到最新版本,安裝步驟: 以root權(quán)限登錄系統(tǒng)CentOS 6.3 X86_64 添加第三方源EPEL和REMI 執(zhí)行命令 Yum install mysql mysql-server mysql-libs perl apache mod_ssl openssl perl-devel db4-devel expact-devel gcc make XML-Parser openldap perl-dbd perl-cpan perl-dbi -enablerepo=remi,2. Openca安裝過程,輸入y+回車確認(rèn)安裝 系統(tǒng)會自動開始安裝所有需要的軟件,成功時(shí)會有Complete提示,MySQL數(shù)據(jù)庫的配置： #service mysqld start /首先啟動mysqld #mysql uroot /進(jìn)入mysql數(shù)據(jù)庫 mysqlCREATE DATABASE openca； /創(chuàng)建openca數(shù)據(jù)庫 mysqlGRANT ALL ON *.* TO opencalocalhost IDENTIFIED BY openca; /添加openca用戶 mysqlexit,2. Openca安裝過程,Apache的配置： #vi /etc/httpd/conf/httpd.conf 查找 Document Root 項(xiàng) 修改為/var/www 查找 Directory項(xiàng) 修改Options為FollowSymLinks 添加 SSLEngine On SSLCertificateFile /etc/httpd/conf/server.crt SSLCertificateKeyFile /etc/httpd/conf/server.key ,2. Openca安裝過程,安裝依賴庫openca-base-1.3.0 #cd /tmp #wget /alby/download?target=openca-tools-1.3.0.tar.gz #tar xzvf openca-tools-1.3.0.tar.gz #cd openca-tools-1.3.0 #./configure -prefix=/usr/local/openca-tools #make #make install,2. Openca安裝過程,安裝openca-base-1.3.0 #cd /tmp #wget /alby/download?target=openca-base-1.3.0.tar.gz #tar xzvf openca-base-1.3.0.tar.gz #cd openca-base-1.3.0 #./configure -prefix=/usr/local/openca -with-openca-tools-prefix=/usr/local/openca-tools -with-httpd-user=apache -with-httpd-group=apache -with-httpd-fs-prefix=/var/www -with-web-host=v.bitpt.us -with-htdocs-fs-prefix=/var/www/pki -with-db-name=openca -with-db-type=mysql -with-service-mail-account=admin #make #make install-offline install-online,2. Openca安裝過程,安裝參數(shù)解釋 -prefix= (指定安裝目錄） -with-openssl-prefix= (指定openca-tools位置) -with-module-prefix= (指定perl模塊位置) -with-web-host= (指定服務(wù)器名稱可使用IP或domain name) -with-httpd-user= (指定web資料夾用戶) -with-httpd-group= (指定web資料夾組) -with-httpd-fs-prefix= (指定web資料夾位置),2. Openca安裝過程,配置OpenCA #vi /usr/local/openca/etc/openca/config.xml /修改CA信息后保存退出 #sh /usr/local/openca/etc/openca/configure_etc.sh /將配置文件輸出到web服務(wù)器目錄 #chown R apache:apache /usr/local/openca/var/log /將log目錄的所有者更改為web服務(wù)運(yùn)行用戶,2. Openca安裝過程,啟動OpenCA #cd /usr/bin #ln s /usr/local/openca/etc/init.d/openca openca #openca start 第一次運(yùn)行會要求輸入web登入的密碼 如果啟動出錯(cuò) 可查看出錯(cuò)日志 #cat /usr/local/openca/var/log/stderr.log,2. Openca安裝過程,登陸web頁面進(jìn)行初始化 瀏覽器中輸入http:/localhost/pki/ca 輸入用戶名密碼 進(jìn)入：PKI Init & Config - Initialization - DB, Key and Cert Init 點(diǎn)擊 Initialize Database 完成后，就可以看到openca數(shù)據(jù)庫建立了8個(gè)空表：ca_certificate certificate crl crr messages request user user_data,3. 證書的簽發(fā)與管理,申請證書 瀏覽器中輸入http:/localhost/pki/pub 無需輸入用戶名密碼 進(jìn)入：My Certificate - Request Certificate 輸入相關(guān)信息 提交申請,3. 證書的簽發(fā)與管理,簽發(fā)證書 瀏覽器中輸入http:/localhost/pki/ca 輸入用戶名密碼 進(jìn)入： PKI Init & Config - RA Certificate - Issue Certificate 完成后點(diǎn)擊 Handle Certificate,3. 證書的簽發(fā)與管理,導(dǎo)入證書 瀏覽器中輸入http:/localhost/pki/pub 進(jìn)入： Infomations - Valid Certificates 選擇所需要的證書 點(diǎn)擊More Info 在新打開的頁面下方找到Download按鈕 下載簽發(fā)好的證書文件 在本機(jī)打開證書 進(jìn)行導(dǎo)入操作,3. 證書的簽發(fā)與管理,管理證書 瀏覽器中輸入http:/localhost/pki/pub 進(jìn)入： Infomations