跳转至

证书管理系统

前言

这次向大家介绍一个开源项目,它可以快速的生成证书,满足测试或部署加密服务时遇到的证书需求。

该项目可以创建“客户端”和“服务器”证书,同时支持多种证书类型,包括:RSA、国密(SM2)和ECDSA。

并且可以快速的吊销证书,以及导出CA和CRL。

要说最具特色的应该是“虚拟环境”,类似于python的venv,利用该虚拟环境,可以在同一个机器上创建多个“证书管理系统”,每个系统都是独立的,互不干扰。

比如我就会在自己的电脑上创建“测试证书”、“容器证书”、“VPN证书”、“公网服务证书”等几个证书系统,他们每个证书系统都有自己的CA,互不干扰。

项目介绍

项目地址:Github Homqyy/certm

部署起来也很简单,只需要一下几个步骤:

  1. 拉取代码,并进入项目目录:

    git clone https://github.com/Homqyy/certm.git && cd certm

  2. 根据需要修改配置文件settings.conf,比如你的名字为XiaoMing,系统域名为*.example.com,那么可以如下修改配置值:

    g_conf_name="XiaoMing"
g_conf_domain_suffix=example.com

  3. 构建证书管理系统:

    ./build -i

经过上述的步骤就部署好了,接下来可以用于创建、吊销证书了:

  1. 进入证书环境:

    source ./bin/activate.sh --name example
    • --name example:用于设置证书环境的名称,方便识别。当然也可以不设置,不设置的话会使用默认名称

  2. 制作证书:

    • 客户端 RSA 证书:

      certm-mkcert cert1
      • cert1:证书名称,可以自定义,比如cert1cert2等等
      • 证书和密钥文件存储在路径:output/clients/cert1.example.com/,其中clients是存储客户端证书的目录,cert1.example.com是由配置文件settings.conf中的$g_conf_domain_suffixcert1拼起来的。

    • 服务器 RSA 证书:

      certm-mkcert --server cert1

    • 注意:

      • 如果想生成 国密 证书,使用参数--type sm2即可
      • 如果想生成 ECDSA 证书,需要使用参数--type ecdsa即可

  3. 吊销证书:

    • 吊销客户端证书:

      certm-revoke cert1
      • cert1:证书名称,即上文certm-mkcert命令中的参数cert1

    • 吊销服务器证书:

      certm-revoke --server cert1

    • 注意:

      • 吊销时需要输入密码,密码在settings.conf中的$g_conf_password定义,默认为root
      • 吊销后,应当更新CRL,更新方式为certm-gencrl
      • 如果想吊销 国密 证书,使用参数--type sm2即可
      • 如果想吊销 ECDSA 证书,需要使用参数--type ecdsa即可

  4. 生成crl:

    certm-gencrl
    • CRL文件存储在路径:output/ca/

  5. 导出CA证书:

    certm-genca
    • CA证书存储在路径:output/ca/

  6. 退出环境:

    deactivate

证书文件说明

对于RSA和ECDSA证书,生成的文件如下:

rsa | ecdsa
├── cert.p12
├── cert.pem
├── chain.pem
├── csr.conf
├── priv.csr
└── privkey.pem
  • cert.p12:客户端或服务器证书和私钥,格式为PKCS12
  • cert.pem:客户端或服务器证书,不包含任何中间证书,格式为PEM
  • chain.pem:客户端或服务器证书,包含中间证书,格式为PEM
  • privkey.pem:客户端或服务器证书的私钥,格式为PEM
  • csr.conf:生成证书请求时的配置文件
  • priv.csr:证书请求

对于国密证书,生成的文件如下:

sm2/
├── cert.p12
├── cert.pem
├── chain.pem
├── csr.conf
├── enc-cert.p12
├── enc-cert.pem
├── enc-chain.pem
├── enc-csr.conf
├── enc-priv.csr
├── enc-privkey.pem
├── priv.csr
└── privkey.pem

  • 国密证书相较于RSA和ECDSA的区别在于多了“加密证书”和“加密私钥”,它们用enc-作为前缀:

    • enc-cert.p12:客户端或服务器的加密证书和私钥,格式为PKCS12
    • enc-cert.pem:客户端或服务器加密证书,不包含任何中间证书,格式为PEM
    • enc-chain.pem:客户端或服务器加密证书,包含中间证书,格式为PEM
    • enc-privkey.pem:客户端或服务器加密证书的私钥,格式为PEM
    • enc-csr.conf:生成加密证书请求时的配置文件
    • enc-priv.csr:加密证书请求

CA目录(output/ca/)下的文件如下:

ca
├── ca-all.pem.crt
├── ca-chain-gm.pem.crt
├── ca-chain.pem.crt
├── ca-gm.pem.crt
├── ca.pem.crt
├── gm-sub-ca.pem.crl
└── sub-ca.pem.crl
  • certm-genca命令生成:
    • ca-all.pem.crt:包含所有CA证书,包括RSA、ECDSA和国密
    • ca-chain-gm.pem.crt:国密CA证书链,包含了国密根CA及中间CA证书
    • ca-chain.pem.crt:RSA和ECDSA证书的CA证书链,包含了根CA及中间CA证书
    • ca-gm.pem.crt:国密根CA证书
    • ca.pem.crt:RSA和ECDSA证书的根CA证书
  • certm-gencrl命令生成:
    • gm-sub-ca.pem.crl:国密中间CA证书的CRL
    • sub-ca.pem.crl:RSA和ECDSA证书的中间CA证书的CRL

评论