配置ca服务器和http，mail加密

一·CA介绍

　　certificate authority 数字证书授权中心

　　被通信双方信任的、独立的第三方机构

　　负责证书颁发、验证、撤销等管理

数字证书

　　经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件

国内常见的CA机构

　　中国金融认证中心（CFCA）

　　中国电信安全认证中心（CTCA）

　　北京数字证书认证中心（BJCA）

PKI public key infrastructure 公钥基础设施

　　一套标准的密钥管理平台

　　通过公钥加密、数字证书技术确保信息安全

PKI体系的基本组成

　　权威认证机构（CA）

　　数字证书库、密钥备份及恢复系统

　　证书作废系统、应用接口

openssl 加密工具做数据加/解密

　　实现SSL/TLS协议及各种加密用应用

　　-创建并管理私钥、公钥、证书、证书服务

　　-使用公钥加解密

　　-使用各种算法进行加解密

　　-计算信息摘要

对称加密

enc 指定算法 des3三遍 -e 加密　-d 解密　-in 源文件　-out 加解密输出后的文件

　　#openssl enc -des3 -e -in f1.txt -out f1.txt.enc

　　#openssl enc -des3 -d -in f1.txt.enc -out f1.txt

　　#file f1.txt

　　#file f1.txt.enc

搭建ca服务器

1.配置CA证书签发环境

　　# ls /etc/pki/tls/openssl.cnf

　　# rpm -qf /etc/pki/tls/openssl.cnf

　　#vim /etc/pki/tls/openssl.cnf

　　40 [ CA_default ] //默认环境

　　42 dir = /etc/pki/CA //CA相关文件的默认目录

　　43 certs = $dir/certs //为用户颁发数字证书的存放位置

　　45 database = $dir/index.txt //证书数据的索引文件，需手动建立

　　50 certificate = $dir/my-ca.crt //CA服务器根证书文件

　　51 serial = $dir/serial //序号记录文件，需手动建立，从01开始

　　55 private_key = $dir/private/my-ca.key //CA服务器私钥文件

　　84 [ policy_match ] //匹配策略

　　85 countryName = match //国家一样

　　86 stateOrProvinceName = match //省份一样

　　87 organizationName = match //公司一样

　　128 [ req_distinguished_name ] //证书请求的识别信息

　　130 countryName_default = CN 　　//国家

　　135 stateOrProvinceName_default = beijing　 //省

　　138 localityName_default = beijing //城市

　　141 0.organizationName_default = tarena //公司

　　148 organizationalUnitName_default = ope //部门

根据需要建立index.txt、serial文件

　　# touch /etc/pki/CA/index.txt

　　# echo 01 > /etc/pki/CA/serial

　　#chmod 600 index.txt serial

2 为CA服务器生成私钥

　　#cd /etc/pki/CA/private/

　　# openssl genrsa -des3 2048 > my-ca.key (设置保护私钥的密码123456)

　　# chmod 600 my-ca.key

3 为CA服务器创建根证书

　　#cd /etc/pki/CA

　　#openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 365 > my-ca.crt

　　req请求　x509证书格式

　　#chmod 600 my-ca.crt

4 发布根证书 (web ftp 等提供给用户下载)

5 客户端下载安装根证书

　　中间证书：数字证书

二、网站加密 http+ssl

1 配置网站服务器192.168.4.50 支持客户端使用https 443协议访问

　　1.1 启用httpd服务

　　　　#yum -y install httpd

　　　　#echo 12345 > /var/www/html/test.html

　　　　#echo "hello boy" > /var/www/html/index.html

　　　　#service httpd start ; chkconfig httpd on

　　　　#netstat -utnalp | grep httpd （80）

　　　　#修改本地hosts（没有dns）

　　1.2 创建私钥文件

　　　　# cd /etc/pki/tls/private/

　　　　#openssl genrsa 2048 > www.key

　　1.3 创建证书请求文件，并上传给ca服务器

　　　　#openssl req获取 -new -key /etc/pki/tls/private/www.key > /root/www.csr （必须要与ca服务器policy_match84行规则一样）

　　　　#scp /root/www.csr 192.168.4.100:/root/

2 CA服务器的配置192.168.4.100

　　2.1 审核证书请求文件，并签发数字证书给网站服务器

　　　　#ls /root/www.csr

　　　　#cd /etc/pki/CA/certs/

　　　　# openssl ca -in /root/www.csr > www.crt

　　　　#scp www.crt 192.168.4.50:/root/

　　2.2 配置网站服务4.50运行时加载私钥文件和数字证书文件

　　　　#mv /root/www.crt /etc/pki/tls/certs/

　　　　#ls /etc/pki/tls/private/www.key

　　　　#yum -y install mod_ssl

　　　　#sed -n '100p;107p' /etc/httpd/conf.d/ssl.conf

　　　　SSLCertificateFile /etc/pki/tls/certs/www.crt

　　　　SSLCertificateKeyFile /etc/pki/tls/private/www.key

　　　　重启服务

　　　　#systemctl restart httpd

　　　　#netstat -untlap | grep httpd （443 80）

3 客户端验证4.254

　　# sed -i '$a192.168.4.50 sec50.chen.com www.chen.com' /etc/hosts

　　#ping www.chen.com

　　下载ca根证书并安装

　　在浏览器里导入根证书

　　访问: https://www.chen.com (没有不受信任的提示,问题看技术详细--因为没有ca的根证书)

4 配置网站服务接收到访问80端口的请求时把请求转给本机的443端口

　　#vim /etc/httpd/conf/httpd.conf

　　SSLRandomSeed startup builtin //执行内建的函数;内键指令

　　 SSLRandomSeed connect builtin

　　</IfModule>

　　RewriteEngine on

　　RewriteCond %{SERVER_PORT} !^443$ //重写条件，服务端口，不是443则成立

　　RewriteRule (.*) https://%{SERVER_NAME}/$1 [R] //重写规则， .* 表示后面test任意，R替换，将$1替换为https://%{SERVER_NAME}

　　#systemctl restart httpd

　　#firefox http://www.chen.com

三、邮件加密 192.168.4.50

　　# yum -y install postfix dovecot cyrus-sasl

　　#systemctl start postfix ; systemctl enable postfix //发邮件

　　#systemctl start dovecot ; systemctl enable dovecot //收邮件