用OpenSSL实现CA认证

【任务描述】

雅鹿公司的文件使用OpenSSL实现CA认证，电商专员小王现在需要对该过程进行详细了解。请帮助小王完成这一任务。

【任务分析】

使用OpenSSL实现CA证书的搭建。

【知识准备】

OpenSSL是在Linux/Windows平台下，开放源代码的、实现SSL协议及相关加密技术的软件包。

【任务实施】

（1）首先准备3个虚拟机，它们分别表示根CA机构、子CA机构和证书申请用户。实验环境的拓扑结构如图5-5所示。

图5-5　实验环境的拓扑结构

用户向子CA机构申请证书，子CA机构向根CA机构申请授权，根CA机构是如何取得证书的呢？答案是根CA机构自己给自己颁发证书。

（2）OpenSSL中关于CA的配置。

实验环境中包含3个主机，其中两个是作为CA机构存在的，所以创建所需要的文件的时候，主机A和主机B都需要创建。如果不提前创建这两个文件，那么在生成证书的过程中会出现错误。

（3）构造根CA。

因为没有任何机构能够给根CA机构颁发证书，所以根CA机构只能自己给自己颁发证书。(www.xing528.com)

首先生成私钥文件，私钥文件是非常重要的文件，除了自己本身以外，其他任何人都不能取得，所以在生成私钥文件的同时最好修改该文件的权限，并且采用加密的形式生成。

（4）生成自签名证书。

私钥文件是非常重要的文件，除了自己本身以外，其他任何人都不能取得。所以在生成私钥文件的同时最好修改该文件的权限，并且采用加密的形式进行生成。

（5）颁发证书。

颁发证书可分成两个环节，分别是子CA机构向根CA机构申请授权和普通用户向子CA机构申请证书。

主机A在需要使用证书的主机上生成证书请求，首先在主机B上生成私钥，这一个过程与前面根CA机构生成私钥的过程是一致的。

（6）利用私钥文件，生成证书申请文件。

证书存放位置（即证书存放路径）如图5-6所示。

（7）吊销证书

在实际的使用过程中，有很多这样的实例。例如，在使用浏览器访问淘宝的时候，就可以查看淘宝的证书吊销列表，如图5-7所示。

图5-6　证书存放位置

图5-7　证书吊销列表