一·CA介绍

　　certificate authority   数字证书授权中心

　　被通信双方信任的、独立的第三方机构

　　负责证书颁发、验证、撤销等管理

数字证书

　　经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件

　　

国内常见的CA机构

　　中国金融认证中心（CFCA）

　　中国电信安全认证中心（CTCA）

　　北京数字证书认证中心（BJCA）

PKI   public key infrastructure  公钥基础设施

　　一套标准的密钥管理平台

　　通过公钥加密、数字证书技术确保信息安全

PKI体系的基本组成

　　权威认证机构（CA）

　　数字证书库、密钥备份及恢复系统

　　证书作废系统、应用接口

openssl 加密工具  做数据加/解密

　　实现SSL/TLS协议及各种加密用应用

　　-创建并管理私钥、公钥、证书、证书服务

　　-使用公钥加解密

　　-使用各种算法进行加解密

　　-计算信息摘要

对称加密

enc  指定算法    des3三遍 -e 加密　-d  解密　-in 源文件　-out  加解密输出后的文件

　　#openssl  enc  -des3  -e  -in  f1.txt  -out  f1.txt.enc

　　#openssl  enc  -des3  -d  -in  f1.txt.enc  -out  f1.txt

　　#file f1.txt

　　#file f1.txt.enc

搭建ca服务器

1.配置CA证书签发环境

　　# ls /etc/pki/tls/openssl.cnf

　　# rpm -qf /etc/pki/tls/openssl.cnf

　　#vim  /etc/pki/tls/openssl.cnf

　　40 [ CA_default ]              //默认环境

　　42 dir       = /etc/pki/CA         //CA相关文件的默认目录

　　43 certs           = $dir/certs      //为用户颁发数字证书的存放位置

　　45 database        = $dir/index.txt    //证书数据的索引文件，需手动建立

　　50 certificate     = $dir/my-ca.crt     //CA服务器根证书文件

　　51 serial          = $dir/serial      //序号记录文件，需手动建立，从01开始

　　55 private_key     = $dir/private/my-ca.key    //CA服务器私钥文件

　　84 [ policy_match ]         //匹配策略

　　85 countryName             = match   //国家一样

　　86 stateOrProvinceName     = match  //省份一样

　　87 organizationName        = match   //公司一样

　　128 [ req_distinguished_name ]        //证书请求的识别信息

　　130 countryName_default             = CN    　　//国家

　　135 stateOrProvinceName_default     = beijing　  //省

　　138 localityName_default            = beijing      //城市

　　141 0.organizationName_default      = tarena   //公司

　　148 organizationalUnitName_default  = ope     //部门

根据需要建立index.txt、serial文件

　　# touch  /etc/pki/CA/index.txt

　　# echo 01 >  /etc/pki/CA/serial

　　#chmod 600 index.txt serial

2 为CA服务器生成私钥

　　#cd  /etc/pki/CA/private/

　　# openssl  genrsa  -des3  2048  >  my-ca.key      (设置保护私钥的密码123456)

　　# chmod  600 my-ca.key

3 为CA服务器创建根证书

　　#cd  /etc/pki/CA

　　#openssl  req  -new  -x509  -key  /etc/pki/CA/private/my-ca.key  -days 365  > my-ca.crt

　　req请求 　x509证书格式

　　#chmod 600 my-ca.crt

4 发布根证书  (web ftp 等提供给用户下载)

5 客户端下载安装根证书

　　

　　中间证书：数字证书

二、网站加密  http+ssl

1 配置网站服务器192.168.4.50 支持客户端使用https  443协议访问

　　1.1 启用httpd服务

　　　　#yum  -y   install httpd

　　　　#echo  12345  >  /var/www/html/test.html

　　　　#echo  "hello boy"  >  /var/www/html/index.html

　　　　#service   httpd  start ; chkconfig  httpd on

　　　　#netstat  -utnalp  | grep httpd   （80）

　　　　#修改本地hosts（没有dns）

　　1.2 创建私钥文件

　　　　# cd  /etc/pki/tls/private/

　　　　#openssl  genrsa  2048  >  www.key

　　1.3 创建证书请求文件，并上传给ca服务器

　　　　#openssl  req获取  -new  -key   /etc/pki/tls/private/www.key  >  /root/www.csr   （必须要与ca服务器policy_match84行规则一样）

　　　　#scp   /root/www.csr   192.168.4.100:/root/

2  CA服务器的配置192.168.4.100

　　2.1 审核证书请求文件，并签发数字证书给网站服务器

　　　　#ls  /root/www.csr

　　　　#cd /etc/pki/CA/certs/

　　　　# openssl  ca  -in  /root/www.csr  >  www.crt

　　　　#scp   www.crt   192.168.4.50:/root/

　　2.2 配置网站服务4.50运行时加载私钥文件和数字证书文件

　　　　#mv   /root/www.crt    /etc/pki/tls/certs/

　　　　#ls  /etc/pki/tls/private/www.key

　　　　#yum  -y   install  mod_ssl

　　　　#sed   -n  '100p;107p'  /etc/httpd/conf.d/ssl.conf

　　　　SSLCertificateFile /etc/pki/tls/certs/www.crt

　　　　SSLCertificateKeyFile /etc/pki/tls/private/www.key

　　　　重启服务

　　　　#systemctl   restart  httpd

　　　　#netstat  -untlap  | grep httpd   （443  80）

3 客户端验证4.254

　　# sed -i '$a192.168.4.50  sec50.chen.com  www.chen.com' /etc/hosts

　　#ping     www.chen.com

　　下载ca根证书并安装

　　在浏览器里导入根证书

　　访问:  https://www.chen.com   (没有不受信任的提示,问题看技术详细--因为没有ca的根证书)

4 配置网站服务接收到访问80端口的请求时把请求转给本机的443端口

　　#vim   /etc/httpd/conf/httpd.conf

　　<IfModule ssl_module>

　　SSLRandomSeed  startup  builtin                 //执行内建的函数;内键指令

　　 SSLRandomSeed  connect  builtin

　　</IfModule>

　　RewriteEngine  on

　　RewriteCond  %{SERVER_PORT}  !^443$           //重写条件，服务端口，不是443则成立

　　RewriteRule  (.*)  https://%{SERVER_NAME}/$1  [R]      //重写规则 ， .* 表示后面test任意，R替换，将$1替换为https://%{SERVER_NAME}

　　#systemctl  restart    httpd

　　#firefox  http://www.chen.com

三、 邮件加密  192.168.4.50

　　# yum -y install postfix  dovecot  cyrus-sasl

　　#systemctl   start  postfix ; systemctl   enable  postfix    //发邮件

　　#systemctl   start  dovecot ; systemctl   enable  dovecot    //收邮件

相关协议及端口

　　SMTP（25）+ TLS/SSL

　　POP3（110）、POP3S（995）

　　IMAP（143）、IMAPS（993）

1 邮件服务器的配置

　　1.1  生成私钥文件

　　　　# cd  /etc/pki/tls/private/

　　　　# openssl  genrsa  2048  >  mail.key

　　1.2 创建证书请求文件并上传给CA服务器 (mail.tedu.cn)

　　　　#openssl  req  -new  -key   /etc/pki/tls/private/mail.key  >  /root/mail.csr

　　　　#  scp /root/mail.csr  192.168.4.100:/root/

2 CA服务器的配置

　　2.1审核并签发数字证书

　　　　#ls  /root/mail.csr

　　　　#cd /etc/pki/CA/certs/

　　　　#openssl  ca  -in  /root/mail.csr  >  mail.crt

　　　　#scp  mail.crt    192.168.4.50:/root/

3  邮件服务器配置服务在运行是加载数字证书文件和私钥文件 （收邮件服务）

　　# vim  /etc/dovecot/conf.d/10-ssl.conf

　　14 ssl_cert = </etc/pki/dovecot/certs/mail.crt

　　15 ssl_key = </etc/pki/dovecot/private/mail.key

　　 # cp  /etc/pki/tls/certs/mail.crt  /etc/pki/dovecot/certs/

　　# cp  /etc/pki/tls/private/mail.key   /etc/pki/dovecot/private/

　　重启服务

　　#systemct  restart   dovecot

　　#netstat  -untnalp  | grep dovecot   (110  143  995   993)

4 邮件服务器配置服务在运行是加载数字证书文件和私钥文件 （发邮件服务）

　　#cp /root/mail.crt    /etc/pki/tls/certs/

　　# vim /etc/postfix/main.cf

　　smtpd_use_tls = yes   //启用加密传输

　　#smtpd_tls_auth_only = yes    //禁用明文加密，若启用此项，则非TLS的SMTP通信将被阻止

　　smtpd_tls_key_file = /etc/pki/tls/private/mail.key

　　smtpd_tls_cert_file = /etc/pki/tls/certs/mail.crt

　　#smtpd_tls_loglevel = 1                  //排错阶段可启用此配置

　　#systemctl  restart   postfix

　　#netstat  -utnalp  | grep master

5 客户端配置：

在客户端软件里配置使用加密收/发邮件