使用 OpenSSL 建立私有 CA：1 根證書

OpenSSL 建立私有 CA 三部曲：
使用 OpenSSL 建立私有 CA：1 根證書
使用 OpenSSL 建立私有 CA：2 中間證書
使用 OpenSSL 建立私有 CA：3 用戶證書

OpenSSL 是一個免費開源的庫，它提供了一些處理數字證書的命令行工具。其中一些工具能夠用做證書頒發機構(Certificate Authority 即 CA)。
證書頒發機構(CA)是簽署數字證書的實體。許多網站須要讓他們的客戶知道鏈接是安全的，因此須要從一個被普遍信任的CA(例如VeriSign, DigiCert)來爲他們的域名簽署證書，也就是咱們常說的 HTTPS 證書。
本系列文章的目的不是讓你建立像 VeriSign 那樣的 CA 機構。在不少狀況下，咱們須要在公司局域網內的網站中啓用 HTTPS，好比測試環境，或者是公司內網中的管理系統(如今主流的瀏覽器都把 HTTP 站點標記爲不安全)。此時經過 OpenSSL 建立私有 CA 並頒發證書就是很好的選擇了。
本系列分爲三篇文章，即本文《使用 OpenSSL 建立私有 CA：1 根證書》後續的《使用 OpenSSL 建立私有 CA：2 中間證書》和《使用 OpenSSL 建立私有 CA：3 用戶證書》。
說明：本系列文章的演示環境爲 Ubuntu 18.04，OpenSSL 的版本爲 1.1.0g。

基本目錄結構

建立 myca 目錄保存 CA 相關的全部內容，而後建立 myca/rootca 目錄用來保存根證書相關的內容：

至於上圖中的 myca/powerca 和 myca/usercert 則存放後面要介紹的中間證書和用戶證書的內容。

準備根證書的配置文件

OpenSSL 程序提供了一個默認的配置文件：/etc/ssl/openssl.cnf，可是因爲咱們自定義的內容比較多，因此乾脆建立一個套單獨的配置文件。建立文件 rootca/rootca.cnf，編輯其內容以下：

# OpenSSL root CA configuration file.
# v1
[ ca ]
# `man ca`
default_ca = CA_default
[ CA_default ]
# Directory and file locations.
dir = /home/nick/projects/myca/rootca
certs = $dir/certs
crl_dir = $dir/crl
new_certs_dir = $dir/newcerts
database = $dir/db/index
serial = $dir/db/serial
RANDFILE = $dir/private/random
# The root key and root certificate.
private_key = $dir/private/rootca.key.pem
certificate = $dir/certs/rootca.cert.pem
# For certificate revocation lists.
crlnumber = $dir/db/crlnumber
crl = $dir/crl/rootca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30
# SHA-1 is deprecated, so use SHA-2 instead.
default_md = sha256
name_opt = ca_default
cert_opt = ca_default
default_days = 3750
preserve = no
policy = policy_strict
[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
# Options for the `req` tool (`man req`).
# Optionally, specify some defaults.
prompt = no input_password = 123456

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.
default_md = sha256
# Extension to add when the -x509 option is used.
# make sure use x509_extensions, do not use req_extensions.
x509_extensions = v3_ca
# use the req_extensions not work.
#req_extensions = v3_ca
[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName = CN stateOrProvinceName = ShaanXi localityName = Xian organizationName = NickLi Ltd organizationalUnitName = NickLi Ltd CA commonName = NickLi Root CA emailAddress = ljfpower@163.com
[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always
[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

這是一個很是重要的配置文件，指定了不少配置的目錄，其中最重要的一個已經被抽取成了變量 dir。咱們要作的就是指定 dir 的路徑，而且根據下面的步驟來建立其他的目錄和文件。
爲了把建立證書的過程也自動化掉，筆者在 req 段添加了下面的配置：

[ req ]
prompt = no
input_password = 123456

其中的 123456 就是後面建立的祕鑰的密碼，這樣在建立 Certificate Signing Requests(csr) 時就不須要以交互的方式輸入密碼了。
下面的內容是默認的 CA 信息：

[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = ShaanXi
localityName = Xian
organizationName = NickLi Ltd
organizationalUnitName = NickLi Ltd CA
commonName = NickLi Root CA
emailAddress = ljfpower@163.com

準備目錄和文件

在 rootca 目錄下建立下面的目錄和文件：

rootca/certs/           # 存放新建的證書
rootca/db/              # spenssl 用來存放信息的目錄
rootca/private/         # 存放私鑰
rootca/crl/                                 
rootca/newcerts/

rootca/db/index
rootca/db/serial
rootca/db/crlnumber

其中的 rootca/private 目錄須要 700 的權限，主要是爲了既保證私鑰的安全有可以建立私鑰文件。rootca/db/serial 和 rootca/db/crlnumber 則須要被初始化爲特定的值。簡單起見咱們可使用下面的腳原本建立這些目錄和文件：

#!/bin/bash

# create dir certs db private crl newcerts under rootca dir.
if [ ! -d rootca/certs ]; then
    mkdir -p rootca/certs
fi

if [ ! -d rootca/db ]; then
    mkdir -p rootca/db
    touch rootca/db/index
    openssl rand -hex 16 > rootca/db/serial
    echo 1001 > rootca/db/crlnumber
fi

if [ ! -d rootca/private ]; then
    mkdir -p rootca/private
    chmod 700 rootca/private
fi

if [ ! -d rootca/crl ]; then
    mkdir -p rootca/crl
fi

if [ ! -d rootca/newcerts ]; then
    mkdir -p rootca/newcerts
fi

把上面的代碼保存到 myca/roothelpler.sh 文件中，而後 cd 到 myca 目錄下執行：

$ ./roothelpler.sh

此時當前目錄爲 myca，rootca 下的子目錄和文件都已經建立成功。

建立 root 祕鑰

進入 rootca 目錄：

$ cd rootca

執行下面的命令建立私鑰：

$ openssl genrsa -aes256 -out private/rootca.key.pem 4096

這裏筆者設置的密碼爲：123456，記住這個密碼，後面還會用到。而後爲了確保安全，把祕鑰的訪問權限設置爲 400：

$ chmod 400 private/rootca.key.pem

此時當前目錄爲 myca/rootca。

建立 Certificate Signing Requests(csr)

執行下面的命令建立 csr：

$ openssl req -new \
    -config rootca.cnf \
    -sha256 \
    -key private/rootca.key.pem \
    -out csr/rootca.csr.pem

下面的命令能夠檢查生成的 csr：

$ openssl req -text -noout -in csr/rootca.csr.pem

注意，csr 中包含了 CA 的基本信息，和公鑰信息。

建立 CA 的根證書

有了前一步中生成的 csr，咱們就能夠經過下面的命令生成 CA 的根證書了：

$ openssl ca -selfsign \
    -config rootca.cnf \
    -in csr/rootca.csr.pem \
    -extensions v3_ca \
    -days 7300 \
    -out certs/rootca.cert.pem

在交互式的提示中輸入私鑰的密碼 123456，並贊成其它的確認提示，就完成了根證書的生成操做。注意，上面命令中的 -selfsing 選項，它說明全部的根證書都是自簽名的。一樣，咱們也能夠經過命令來查看證書的詳細信息：

$ openssl x509 -noout -text -in certs/rootca.cert.pem

其中的 Signature Algorithm 爲簽名算法；Issurer 是簽發方，即簽署證書的實體；Validity 指明證書的有效期爲 2018-11-26 號至 2038-11-21 號；而後是公鑰信息；Subject 指明證書自身的信息，這裏 Issurer 和 Subject 的信息是同樣的；下面還有 X509 協議相關的信息，這部分信息由配置文件 rootca.cnf 中的 [ v3_ca ] 段控制：

紅框中的信息代表這個證書被用做 CA。

總結

至此咱們已經爲私有的 CA 建立了根證書，在接下來的《使用 OpenSSL 建立私有 CA：中間證書》一文中咱們將詳細的介紹如何建立 CA 的中間證書。

參考：
OpenSSL Certificate Authority
《openssl-cookbook》