本发明涉及服务器安全认证领域,具体涉及一种在linux系统下自动建立caserver的方法。该方法通过预先设置的默认密码生产一个cacert,然后通过openssl将csr文件签名为证书,从而自动完成建立caserver,该方法适用于目前业界内所有使用linux系统自动化配置证书服务器,具有良好的普及和推广性,能够为广大客户提供一种简洁、省时、易操作的caserver部署方法。
背景技术:
目前业界内无论大型互联网客户还是小型企业级客户,均选择linux系统作为业务承载,因为linux系统具有很好的稳定性。在服务器安全性应用中,ca(certificateauthority)server被广泛应用,在linux系统下自动化建立caserver更加快速,准确,而且能更好的提高工作效率,同时也方便对服务器安全性的测试。
ca是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。ca的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。数字证书实际上是存于计算机上的一个记录,是由ca签发的一个声明,证明证书主体(″证书申请者″拥有了证书后即成为″证书主体″)与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的ca的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。ca是基于非对称加密体系建立的电子商务安全认证机构。ca提供的安全技术对网上的数据,信息发送方,信息接收方进行身份确认,以保证各方信息传递的安全性,完整性,可靠性和交易的不可抵赖性。
如果要生成一个非自签名的证书,则必须首先生成csr文件,然后将其签名为证书。ca(证书颁发机构)将用于签署csr,使其成为一个有效的签名数字证书,用于其他地方的安全认证使用。
ssl是securesocketlayer(安全套接层协议)的缩写,可以在internet上提供秘密性传输。ssl采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。目前,利用公开密钥技术的ssl协议,已成为internet上保密通讯的工业标准。安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。ssl协议要求建立在可靠的传输层协议(tcp)之上。openssl采用c语言作为开发语言,这使得openssl具有优秀的跨平台性能,openssl提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及ssl协议,并提供了丰富的应用程序供测试或其它目的使用。cacert是免费的数字证书机构,我们需要建立的是一个根ca,只能由我们自己来对证书请求进行签名。所以我们让openssl使用证书请求中附带的密钥对对该请求进行签名。
对此,本申请发明一种在linux系统下自动建立caserver的方法,该方法可以通过预先设置的默认密码生产一个cacert,然后通过openssl将csr文件签名为证书,从而自动完成建立caserver。
技术实现要素:
具体地,本申请请求保护一种在linux系统下自动建立caserver的方法,其特征在于,该方法具体包括如下步骤:
1)建立ca目录结构;
2)生成ca的rsa密钥对;
3)生成ca证书请求;
4)自签发ca证书;
5)生成用户的rsa密钥对;
6)生成用户证书请求;
7)使用ca签发用户证书。
如上所述的在linux系统下自动建立caserver的方法,其特征还在于,在生成ca的rsa密钥对时,可以预先设置一个默认密码。
如上所述的在linux系统下自动建立caserver的方法,其特征还在于,在生成用户证书请求时,可以设置证书生效期限。
如上所述的在linux系统下自动建立caserver的方法,其特征还在于,上述创建caserver的步骤是使用openssl创建。
如上所述的在linux系统下自动建立caserver的方法,其特征还在于,步骤3和4可以用一个指令完成。
附图说明
图1、本发明所述自动建立caserver的示意图
具体实施方式
下面将结合附图1对本发明所述的方法做进一步地详细描述。
使用openssl创建caserver的实现方法:
1.在linux系统中安装好openssl;
2.建立ca目录结构;
生成ca的rsa密钥对:
使用3-des对称加密算法加密密钥对,该参数需要用户在密钥生成过程中输入一个口令用于加密,在今后使用该密钥对时,需要输入相应的口令,如果不加该选项,则不对密钥进行加密;在此可以设置一个默认密码,生成一个cacert;将生成的密钥对保存到文件/private/cakey.pem。
3.通过openssl建立caserver:
为了获取一个ca根证书,需要先制作一份证书请求。
前面生成的ca密钥对被用于对证书请求签名生成ca证书请求,自签发ca证书;其中,可以设置参数将openssl在证书请求生成过程中要求用户填写一些相应的字段,比如,可以设置从生成之时算起,证书时效为365天。
指定前面保存到文件/**/private/cakey.pem为证书所使用的密钥对文件,用指定的私钥生成一个csr(certificatesigningrequest),将生成的证书保存到文件cacert.pem,完成ca证书请求生成及签名从而生成ca根证书.
本申请所述方法的部分执行程序代码的内容如下:
cd/
catop=/ca
#createthedirectoryhierarchy
mkdir-p${catop}
mkdir-p${catop}/certs
mkdir-p${catop}/crl
mkdir-p${catop}/newcerts
mkdir-p${catop}/private
touch${catop}/index.txt
echo01>/ca/serial
#generateacakey,youneedsetapassphraseforit[defaultpasswordthatasutestspassumesis#″password″,itisrecommendedinyourtestprocess.]
opensslgenrsa-des3-out${catop}/private/cakey.pem2048
#generateacacert,informationrequiredsuchascountrynameetc.
opensslreq-new-x509-days365-key${catop}/private/cakey.pem-out${catop}/cacert.pem
显而易见地,上面所示的仅仅是本发明的一个具体实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据该具体实施例获得其他的技术方案,都属于本发明保护的范围
本发明所述的自动生成caserver的方法可以直接使用于各个平台,适用于目前业界内所有使用linux系统自动化配置证书服务器,具有良好的普及和推广性。为广大客户提供一种简洁、省时、易操作的caserver部署方法。