在Linux上创建SSL证书颁发机构并在Windows AD中使用它

编程入门行业动态更新时间:2024-10-28 18:25:19

在工作中发现一个有用的东西，在很多公司网站广泛使用SSL，但对于我们生产系统，这意味着从广泛认可的证书颁发机构（如Verisign或Thawte）购买SSL证书，但对于我们开发系统，当有10个15个需要SSL的不同预生产环境时，它会变得非常昂贵。所以，这是一个不花钱的潜在解决方案。在Linux上构建您自己的CA，使用Microsoft的Active Directory将证书作为可信CA发布。

我将在这个例子中使用Ubuntu Linux 18.04。我建议在没有监听服务的专用服务器上运行CA，除了openssh。我也强烈建议使用SSH密钥连接到服务器。这是您的SSL私钥将驻留的位置，我希望您可以进行保护。

在Linux上设置证书颁发机构

随着新服务器的启动和准备，让我们进入它并开始使用。首先，如果您还没有安装openssl，则需要安装。

	# Install openssl
sudo apt-get install openssl

安装将在/ etc中创建一个ssl目录。让我们移动并创建SSL私钥

cd /etc/ssl/
sudo openssl genrsa -des3 -out ca.key 4096

Generating RSA private key, 4096 bit long modulus
...............................................++
....................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

为了解释我们刚刚做了什么，这里简要概述了该命令中的每个选项。前两个命令是“sudo openssl”。Sudo以root权限运行openssl。命令的其余部分是openssl的选项。他们是“genrsa -des3 -out ca.key 4096”。我们告诉openssl使用三重DES（-des3）生成一个4096位的rsa密钥（genrsa），并将密钥放在ca.key（-out ca.key）中。然后我们被提示输入密钥用于密钥。使这是一个很好的长密码，并保持非常安全。

好的，我们的密钥就绪，现在让我们创建公共CA证书。系统会多次提示您提供一些信息以添加到证书中，因此请准备好为您的环境回答这些信息。

sudo openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:liangk
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Palletone
Organizational Unit Name (eg, section) []:Technology
Common Name (eg, YOUR name) []:ca.test
Email Address []:lk2684753@163

这个时候我们为openssl使用了更多的参数。这次的参数是“req -new -x509 -days 3650 -key ca.key -out ca.crt”。基本上，我们要求新的x509证书，我们希望365天（1年）有效。我们想使用ca.key作为证书的私钥，我们将其保存在ca.crt中。一年的到期可能对您的环境来说太短暂。就个人而言，我会为预生产系统挑选更长的东西。产品系统，您可能决定做其他事情。

您现在已准备好在您的环境中使用证书颁发机构。
将本地生成的ca.crt文件导出到windows系统桌面