也许你经过一段时间的了解，已经知道基于数字证书的身份认证方式是符合等级保护条例的双因素认证方式，而且是安全性比较高的认证方式。你决定要使用数字证书来实现业务系统的用户登录，你现在要了解如何使用数字证书实现用服务器认证和户身份认证。

通过实验搭建一个测试CA系统，颁发服务器证书和用户证书，实现用户基于证书登录。

做完实验，你也许会对目前web服务支持的认证策略感到失望。

实验内容：

搭建Openssl CA环境，签发服务器证书和客户端证书。
nginx，安装nginx，配置HTTPS发布，且被浏览器认证通过。
设置客户端认证。

搭建CA，并签发证书

步骤如下：

1.生成ROOT CA 的私钥

2.用私钥签发CA的自签根证书

3.配置CA的发布环境，CRL文件、index文件、证书发布目录等

4.签发服务端证书

5.签发客户端证书

下载并安装openssl

# openssl 下载页面 https://www.openssl.org/source/，

cd /home &&

wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz

tar xvf openssl-1.1.1g.tar.gz

cd openssl-1.1.1g

./config --prefix=/usr/local/openssl

make && make install

mkdir /home/pki

cd /home/pki

mkdir certs private crl

touch index.txt

echo '01' > serial

cp /usr/local/openssl/ssl/openssl.cnf /home/pki

chmod 700 /home/pki/private

#生成 根密钥

openssl genrsa -aes256 -out /home/pki/private/ca_root.key 2048

# 生成root证书请求

openssl req -new -key /home/pki/private/ca_root.key -out /home/pki/ca.csr

# req信息在openssl.cnf 中定义，-conf openssl.cnf,修改当前目录下cnf文件
# 不加-conf系统默认的conf，在拷贝的原文件位置/usr/local/openssl/ssl/openssl.cnf

openssl x509 -req -sha256 -days 3650 -in /home/pki/ca_root.csr -signkey /home/pki/private/ca_root.key -out /home/pki/certs/ca_root.pem

有关ca根的配置，修改当前目录下的openssl.cnf文件。

# 修改openssl.cnf [ CA_default ] 设置ca的证书和私钥

# certificate     = $dir/certs/ca_cert.pem

# private_key     = $dir/private/ca_root.key

# 设置[CA_default]的相关路径，指向当前的路径

openssl.cnf文件用法

openssl的默认参数在openssl.cnf文件中配置。openssl命令行 req/x509/ca三个命令。req、x509 2个命令是用来处理数字证书，ca命令是包含证书的签发和撤销，同步更新index文件和crl文件。前2个命令独立命令，而ca是一个更系统的命令。

req，x509,ca命令都可以用 -config config文件，指明文件路径，设置默认参数，也可以在命令行中显示传递参数。config文件采用[ca][req]的方式，设置相关参数，由[]开始，到下一个[]之间，是这个标签的参数。

生成root证书，采用req命令使用到config文件[req]段中的配置，x509_extensions = v3_ca扩展项定义basicConstraints=CA:true，基本约束定义了签发CA证书。

在config文件中，定义[usr_cert],采用用户的默认扩展设置。

可以在config中定义[server_cert]服务器证书扩展，也可以采用单独的扩展文件。服务器扩展中定义subject alternative name，服务端通过设置SAN（subject alternative name）的方式，实现将域名或者ip地址写入到证书中。

使用独立的扩展文件，创建并编辑server.extensions.cnf文件。

basicConstraints=CA:FALSE

subjectAltName=@my_subject_alt_names

subjectKeyIdentifier = hash

nsCertType = server

nsComment = "OpenSSL Generated Server Certificate"

authorityKeyIdentifier = keyid,issuer:always

keyUsage = critical, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth

[ my_subject_alt_names ]

DNS.1 = www.website.com

命令行如下，生成客户端证书,通过-extensions显示覆盖config文件中x509_extensions变量

openssl ca -config openssl.cnf -out certs/server.crt -extfile server.extensions.cnf -in server.csr

生成客户端证书，采用extensions命令行覆盖openssl.cnf定义的[req]段中x509_extension字段。

openssl ca -config openssl.cnf -extensions usr_client -out certs/client.crt  -in client.csr

将客户端证书转换成p12文件

openssl pkcs12 -export -clcerts -in certs/client.crt -inkey private/client.key -out client.p12

生成p12文件时，需要设置口令，这个口令是安装p12时需要的解密口令。口令保护p12文件中的私钥，和私钥的对称加密含义还不太一样，可以继续做实验，完成user证书加密密钥保护，在https认证时的作用。

配置NGINX 服务器

重新编译NGINX，支持https。

cd /usr/local/src &&

tar -zxvf nginx-1.17.6.tar.gz &&

cd nginx-1.17.6 &&

./configure --sbin-path=/usr/local/nginx/nginx \

--conf-path=/usr/local/nginx/nginx.conf \

--pid-path=/usr/local/nginx/nginx.pid \

--with-http_ssl_module \

--with-pcre=/usr/local/src/pcre-8.43 \

--with-zlib=/usr/local/src/zlib-1.2.11 \

--with-openssl=/home/openssl-1.1.1g &&

make &&

make install

设置nginx.conf文件，开启https，并设置客户端认证，客户端认证以root发布的证书

  # HTTPS server

    #

    server {

        listen       443 ssl;

        server_name  localhost;



        ssl_certificate      /home/pki/server.crt;

        ssl_certificate_key  /home/pki/private/server.key;



        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;



        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers  on;



        ssl_client_certificate /home/pki/certs/ca_cert.pem;

        ssl_verify_client on;

        ssl_verify_depth 1;

        location / {

            root   html;

            index  index.html index.htm;

        }

    }

配置好证书，访问服务器时，chrome浏览器会弹出响应的证书。