使用openssl给web站点颁发证书

背景介绍

在生产环境中，有时会需要用到自签名的证书，而谷歌浏览器从2016年开始就降低了sha1的算法级别，openssl默认使用的是sha1的算法，以下就来介绍openssl如何使用sha256的加密算法对web站点进行加密。拓扑图如下：

操作步骤

1.安装httpd服务

 yum -y install httpd 

 chkconfig httpd on

 service httpd start

没有域名解析的话，httpd会启动很慢同时提示

解决的方法是修改httpd配置文件vim /etc/httpd/conf/httpd.conf

在/var/www/html目录下创建个index.html文件，随便写点内容作为主页，然后查看80端口是否正常侦听

2.为CA颁发自签名证书

首先需要说明的是，证书是一个由公钥和私钥组成的密钥对，所以颁发证书时需要先生成密钥对，所以进入/etc/pki/CA目录上生成一个密钥对并保存到/etc/pki/CA/private目录下取名为cakey.pem

Linux和windows不同不会因后缀名来区分文件类型，此处密钥对需要放在/etc/pki/CA/private目录下取名为cakey.pem的原因是在/etc/pki/tls/openssl配置文件中默认了CA密钥对和证书的路径和名称，如果不按照默认存放，请记得修改配置文件

还需要求改[ CA_dfault ]字段的default_md，此处是设置由这台CA颁发出去证书的加密算法

同时还要修改[ req ]字段的default_md，此处是设置CA自签名证书的加密算法，如果只给颁发证书的算法设置为sha256，在谷歌浏览器下仍会不被信任，原因是一个受信任的证书除了自身外，必须整个证书链都是受信任的

生成CA的自签名证书，证书名和路径要和配置文件保持一致，不再赘述，重点注意红框部分后面详细介绍

-new   申请一个新证书

-x509  证书格式标准

-key   密钥文件位置

-days  证书有效期

填写证书信息时要注意Common Name一定要和你要申请的名称保持一致

此时的/etc/pki/CA路径下并没有配置文件中的index.txt、serial、crlnumber文件，所以还需要手动创建

创建完成后设置一个初始证书颁发号，至此CA上的操作完成

3.Web站点申请证书

进入/etc/httpd目录下创建一个ssl目录，在该目录下为web服务器生成一个密钥http.key

再为Web服务器生成一个证书申请

仔细观察会发现，他和CA的自签名证书很相似，相比较CA的自签名证书少了-x509和-days两个参数，通过man req文档得知req命令使用-x509参数生成的是一个自签名证书而取代证书申请，所以此处不能使用-x509，且这只是个证书申请，证书的有效期应该有CA来指定，所以此处也不需要-days选项

由于CA与Web是同一台机器，所以不需要将申请拷贝到其他机器，直接颁发证书

httpd默认不会安装mod_ssl模块，无法使用https的方式访问，需要yum -y install mod_ssl手动安装，并找到mod_ssl的配置文件

打开mod_ssl的配置文件，按实际指定Web站点的证书文件与私钥文件路径，退出后使用httpd -t检查配置文件，然后重启httpd服务,至此Web站点配置完成

4.Client端配置

将CA的自签名证书/etc/pki/CA/cacert.pem导出到桌面，并改名为cacert.crt，然后通过MMC导入到受信任的根证书颁发机构

修改Client端本地host文件，至此Client端配置完成

5.检测

使用谷歌浏览器输入地址打开验证效果

本文转自 qiao645 51CTO博客，原文链接:http://blog.51cto.com/arkling/1840800