自签名证书工具cfssl详解
描述
自签名证书工具cfssl详解
概述
GitHub地址:https://github.com/cloudflare/cfssl
官方地址:https://pkg.cfssl.org
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
生成自签证书的方式有多种,CFSSL支持签发三种类型的证书:client证书、server证书以及集群成员之间的peer证书。推荐使用cfssl工具或者openssl工具来生成,openssl也是开源的证书生成工具。
生成证书基本概念
CA(证书颁发机构)
CA(Certificate Authority)是 PKI(公钥基础设施)体系的核心信任锚点,负责:
• 证书签名:验证申请者身份后,使用自己的私钥为其颁发数字证书。
• 信任分发:通过公开的根证书(Root CA),让客户端信任其签署的所有证书。
• 证书管理:包括证书颁发、更新、撤销和状态查询(OCSP/CRL)。
CA证书类型类型分为三类,分别是:
• 根 CA(Root CA):
自签名证书,位于信任链顶端。
通常离线存储,极少直接签署终端用户证书。
• 中间 CA(Intermediate CA):
由根 CA 签署,用于分担证书签署工作。
即使私钥泄露,影响范围也仅限于其签署的证书。
• 终端 CA:
直接签署服务器 / 客户端证书的 CA。
安全规范实践:
• 分层设计:使用根 CA → 中间 CA → 终端证书的三级结构。
• 私钥保护:根 CA 私钥必须离线存储(如 HSM 硬件安全模块)。
• 定期轮换:中间 CA 证书有效期通常为 3-5 年,需定期更新。
CSR(证书签名请求)
CSR(Certificate Signing Request)是客户端向 CA 提交的申请文件,创建证书前需要先生成 CSR。
CSR文件通常包含以下信息:
• 公钥:申请者生成的公钥。
• 身份信息:如域名、组织名称、国家代码等。
• 扩展字段:如 SAN(Subject Alternative Name)、密钥用途等。
生产CSR的注意事项:
• 私钥绝对保密:CSR 生成过程中产生的私钥需严格保密,不可泄露。
• 信息准确性:CSR 中的域名(CN/SAN)必须与服务器实际域名一致,否则 TLS 握手会失败。
证书配置文件
主要用来定义证书的使用场景、有效期等参数,CFSSL使用 JSON 格式(如 ca-config.json)的证书配置文件
三者工作流程: 
image
Linux安装cfssl工具
cfssl依赖三个工具包,分别是:cfssl、cfssljson、cfss-certinfo
• cfssl:cfssl 是工具集的核心,提供了证书生命周期管理的所有功能:
• 证书生成:创建自签名证书、CA 证书和用户证书。
• 证书签名:处理证书签名请求(CSR)并颁发证书。
• 配置管理:使用 JSON 配置文件定义证书策略和使用场景。
• CA 管理:创建和管理证书颁发机构(CA)层次结构。
• OCSP/CRL:生成在线证书状态协议(OCSP)响应和证书撤销列表(CRL)。
• cfssljson:专门用于处理 cfssl 输出的 JSON 数据,主要功能包括:
• 解析 JSON 输出:将 cfssl 生成的 JSON 格式证书、密钥和 CSR 转换为单独的文件。
• 文件保存:自动创建并保存证书(.pem)、私钥(.key)和 CSR(.csr)文件。
• cfssl-certinfo:用于查看和验证证书的详细信息,功能包括:
• 证书解析:显示证书的元数据(如有效期、颁发者、主题、公钥等)。
• 证书链验证:检查证书的签名链是否有效。
• 格式转换:将证书以人类可读的格式输出。
下载工具
curl -L -o /usr/local/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 | curl -L -o /usr/local/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 | curl -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 |
授予执行权限
chmod +x /usr/local/bin/cfssl* |
cfssl gencert命令详解
cfssl gencert 是 CloudFlare PKI 工具集中用于生成证书签名请求(CSR)和证书的核心命令。
核心参数:
• -ca [path]:指定用于签名的 CA 证书文件路径(PEM 格式)。
示例:-ca=ca.pem |
• -ca-key [path]:指定 CA 的私钥文件路径(PEM 格式)。
示例:-ca-key=ca-key.pem |
• -config [path]:指定证书签名配置文件(JSON 格式),定义证书的有效期、用途等策略。
示例:-config=ca-config.json | |
• -profile [name]:指定使用配置文件中的哪个签名策略。对应CA配置文件中的profiles字段,其值可以为server、client、peer、ca、kubernets等
示例:-profile=server |
• -hostname [list]:指定证书的 Subject Alternative Name (SAN) 字段,包含域名和 IP 地址,多个值用逗号分隔
示例:-hostname=example.com,www.example.com,192.168.1.1 |
• -cn [name]:指定证书的 Common Name (CN)
示例:-cn="My Server" |
• -key-algo [algo]:指定密钥算法,支持 rsa、ecdsa 等,默认rsa
示例:-key-algo=rsa |
• -key-size [bits]:指定密钥长度(RSA 建议 2048+,ECDSA 建议 256+)
示例:-key-size=2048 |
• -initca:生成自签名的根 CA 证书。
示例:cfssl gencert -initca ca-csr.json | |
• -self-signed:生成自签名证书(非 CA 证书)
示例:cfssl gencert -self-signed server.json |
实战:生成证书
创建根CA文件
# 根ca文件,需要将注释去掉 |
[root@master ~/cfssl]# cat ca-config.json |
{ |
"signing": { |
"default": { |
# 配置默认证书有效期为10年,通常用于根CA证书 |
"expiry": "87600h" |
}, |
"profiles": { |
# 定义server端的证书 |
"server": { |
# 1年有效期 |
"expiry": "8760h", |
"usages": ["signing", "key encipherment", "server auth"] |
}, |
# 定义client端的证书,有效期为一年 |
"client": { |
"expiry": "8760h", |
"usages": ["signing", "key encipherment", "client auth"] |
}, |
# 定义peer端的证书,有效期为一年 |
"peer": { |
"expiry": "8760h", |
"usages": ["signing", "key encipherment", "server auth", "client auth"] |
}, |
# 定义kubernetes的证书,有效期为一年 |
"kubernetes": { |
"expiry": "8760h", |
"usages": ["signing", "key encipherment", "server auth", "client auth"] |
}, |
# 定义ca的证书,有效期为五年 |
"ca": { |
"expiry": "43800h", |
"usages": ["signing", "key encipherment", "server auth", "client auth"] |
} |
} |
} |
} |
配置文件字段说明:
usages:指定的证书用途
• signing:允许证书用于数字签名。数字签名可以确保数据在传输过程中不被篡改,并且可以验证数据的来源。
• key encipherment:允许证书用于加密密钥。在 TLS 握手过程中,客户端和服务器会交换会话密钥,这个过程通常使用证书进行加密。
• server auth:专门用于服务器身份验证。当客户端连接到服务器时,服务器会出示自己的证书,客户端会验证这个证书是否由信任的 CA 颁发,以及证书中的域名是否与自己要访问的域名一致。
• client auth:专门用于客户端身份验证。在双向 TLS 中,服务器也会要求客户端提供证书,以验证客户端的身份。
各端证书使用场景:
• server:HTTPS 网站、SMTP、IMAP、POP3 等邮件服务器、VPN 服务器、任何需要向客户端证明自己身份的服务
• client:企业内部应用,要求员工使用客户端证书登录、API 访问,使用客户端证书进行身份验证、安全邮件客户端,使用证书进行身份验证
• peer:区块链网络中的节点通信、分布式系统中节点间的安全通信、金融机构之间的安全数据交换
• kubernetes:Kubernetes 组件证书(如 API Server、etcd)。
• ca:中间 CA 证书(需配合 -ca 参数使用)。
创建根 CA CSR 配置文件
# 定义CSR文件,需要将json文件中的注释去掉 |
[root@master ~/cfssl]# cat ca-csr.json |
{ |
# 根 CA 的通用名称,对于服务器证书,CN 通常是域名(如www.example.com); |
# 对于 CA 证书,CN 是 CA 的标识名称。 |
"CN": "My Root CA", |
"key": { |
# 加密算法 |
"algo": "rsa", |
# 密钥长度 |
"size": 4096 |
}, |
"names": [ |
{ |
# 国家代码,CN代表是中国 |
"C": "CN", |
# 省份 |
"ST": "Beijing", |
# 城市或地区 |
"L": "Beijing", |
# 组织名称(Organization),可以理解成公司名称 |
"O": "rootca", |
# 组织单位(Organizational Unit),可以理解成公司部门 |
"OU": "ca" |
} |
], |
# 根 CA 证书的配置,指定有效期为10年 |
"ca": { |
"expiry": "87600h" |
} |
} |
生成根 CA 证书和私钥
[root@master ~/cfssl]# cfsslgencert-initcaca-csr.json | cfssljson-bareca/ca | 2025/05/1511:23:34[INFO]generatinganewCAkeyandcertificatefromCSR | 2025/05/1511:23:34[INFO]generatereceivedrequest | 2025/05/1511:23:34[INFO]receivedCSR | 2025/05/1511:23:34[INFO]generatingkey: rsa-4096 | 2025/05/1511:23:34[INFO]encodedCSR | 2025/05/1511:23:34[INFO]signedcertificatewithserialnumber492661591325776778969123330542788728689689366584 |
命令解释:
cfssl gencert:cfssl 工具的子命令,用于生成证书 | -initca:指定生成自签名的根 CA 证书 | ca-csr.json:证书签名请求(CSR)的配置文件路径,对应上面创建的 ca-csr.json | | cfssljson:处理 cfssl 生成的 JSON 输出并转换为文件 | -bare ca:指定输出文件名前缀为 ca,会生成以下三个文件: | ca.pem:根 CA 证书(自签名) | ca-key.pem:根 CA 的私钥(必须严格保密!) | ca.csr:证书签名请求(通常自签名 CA 不需要保留此文件) |
查看当前的目录:
[root@master ~/cfssl]# tree | . | ├── ca | │ ├── ca.csr | │ ├── ca-key.pem # 根 CA 私钥(严格保密!) | │ └── ca.pem #根 CA 证书(公钥,需分发给客户端) | ├── ca-config.json | ├── ca-csr.json |
生成中间CA证书和私钥
中间CA证书文件
[root@master ~/cfssl]# cat intermediate-csr.json |
{ |
"CN": "My Intermediate CA", |
"key": { |
"algo": "rsa", |
"size": 4096 |
}, |
"names": [ |
{ |
"C": "CN", |
"ST": "Beijing", |
"L": "Beijing", |
"O": "baidu", |
"OU": "Intermediate CA" |
} |
] |
} |
生成中间 CA 证书和私钥
[root@master ~/cfssl]# cfssl gencert |
-ca=ca/ca.pem |
-ca-key=ca/ca-key.pem |
-config=ca-config.json |
-profile=ca |
intermediate-csr.json | cfssljson -bare intermediate/intermediate |
2025/05/1511:29:49 [INFO] generate received request |
2025/05/1511:29:49 [INFO] received CSR |
2025/05/1511:29:49 [INFO] generating key: rsa-4096 |
2025/05/1511:29:49 [INFO] encoded CSR |
2025/05/1511:29:49 [INFO] signed certificate with serial number 722124812765078011706922545691404003361157472292 |
2025/05/1511:29:49 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for |
websites. For more information see the Baseline Requirements for the Issuance and Management |
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org); |
specifically, section 10.2.3 ("Information Requirements"). |
查看文件
[root@master ~/cfssl]# tree | . | ├── ca | │ ├── ca.csr | │ ├── ca-key.pem # 根 CA 私钥(严格保密!) | │ └── ca.pem #根 CA 证书(公钥,需分发给客户端) | ├── ca-config.json | ├── ca-csr.json | ├── intermediate | │ ├── intermediate.csr | │ ├── intermediate-key.pem # 中间 CA 私钥(需保密) | │ └── intermediate.pem #中间 CA 证书 | └── intermediate-csr.json |
生成服务器证书
配置服务器证书文件
[root@master ~/cfssl]# cat server-csr.json |
{ |
"CN": "*.huangsir-devops.cn", |
"key": { |
"algo": "rsa", |
"size": 2048 |
}, |
"hosts": [ |
"*.huangsir-devops.cn", |
"www.huangsir-devops.cn", |
"api.huangsir-devops.cn", |
"localhost", |
"127.0.0.1", |
"10.37.97.56" |
] |
} |
使用中间CA签署服务器证书
[root@master ~/cfssl]# cfssl gencert | -ca=intermediate/intermediate.pem | -ca-key=intermediate/intermediate-key.pem | -config=ca-config.json | -profile=server | server-csr.json | cfssljson -bare server/server | 2025/05/1511:37:29 [INFO] generate received request | 2025/05/1511:37:29 [INFO] received CSR | 2025/05/1511:37:29 [INFO] generating key: rsa-2048 | 2025/05/1511:37:30 [INFO] encoded CSR | 2025/05/1511:37:30 [INFO] signed certificate with serial number 666935063085228543415452828659279667302813819643 |
查看生成的文件
[root@master ~/cfssl]# tree | . | ├── ca | │ ├── ca.csr | │ ├── ca-key.pem | │ └── ca.pem | ├── ca-config.json | ├── ca-csr.json | ├── intermediate | │ ├── intermediate.csr | │ ├── intermediate-key.pem | │ └── intermediate.pem | ├── intermediate-csr.json | ├── server | │ ├── server.csr | │ ├── server-key.pem #服务端私钥 | │ └── server.pem #服务端公钥 | └── server-csr.json |
nginx测试配置
[root@master /data/nginx]# cat /etc/nginx/conf.d/test1.conf |
server{ |
listen 443 ssl; |
server_name www.huangsir-devops.cn; |
# 配置公钥证书 |
ssl_certificate /etc/ssl/server/server.pem; |
# 配置私钥证书 |
ssl_certificate_key /etc/ssl/server/server-key.pem; |
|
# 推荐的 SSL 协议和加密算法(安全配置) |
ssl_protocols TLSv1.2 TLSv1.3; |
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384ECDHE-ECDSA-CHACHA20-POLY1305ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; |
ssl_prefer_server_ciphers off; |
|
root /data/nginx/; |
location / { |
index index.html; |
} |
} |
|
# http跳转到https |
server { |
listen 80; |
server_name www.huangsir-devops.cn; |
return 301 https://www.huangsir-devops.cn$request_uri; |
} |
生成客户端证书
配置客户端证书文件
[root@master ~/cfssl]# cat client-csr.json |
{ |
"CN": "client", |
"key": { |
"algo": "rsa", |
"size": 2048 |
} |
} |
使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert | -ca=intermediate/intermediate.pem | -ca-key=intermediate/intermediate-key.pem | -config=ca-config.json | -profile=client | client-csr.json | cfssljson -bare client/client | | # 查看证书 | [root@master ~/cfssl]# tree | . | ├── ca | │ ├── ca-key.pem | │ ├── ca.csr | │ └── ca.pem | ├── ca-config.json | ├── ca-csr.json | ├── client | │ ├── client-key.pem # 公钥 | │ ├── client.csr | │ └── client.pem # 私钥证书 | ├── client-csr.json | ├── intermediate | │ ├── intermediate-key.pem | │ ├── intermediate.csr | │ └── intermediate.pem | ├── intermediate-csr.json | ├── server | │ ├── server-key.pem | │ ├── server.csr | │ └── server.pem | └── server-csr.json | | 4 directories, 17 files |
生成K8s证书
K8s证书有很多类型,
生成API Server证书
配置客户端证书文件
[root@master ~/cfssl]# cat k8s-apiserver-csr.json |
{ |
"CN": "kubernetes-apiserver", |
"key": { |
"algo": "rsa", |
"size": 2048 |
}, |
"hosts": [ |
# Kubernetes服务IP (Service Cluster IP Range) |
"10.0.0.30", |
"10.0.0.31", |
"10.0.0.32" |
# API Server IP |
"192.168.1.10", |
"kubernetes", |
"kubernetes.default", |
"kubernetes.default.svc", |
"kubernetes.default.svc.cluster", |
"kubernetes.default.svc.cluster.local", |
"localhost", |
"127.0.0.1" |
] |
} |
使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert | -ca=intermediate/intermediate.pem | -ca-key=intermediate/intermediate-key.pem | -config=ca-config.json | -profile=kubernetes | k8s-apiserver-csr.json | cfssljson -bare api-server/api-server |
链接:https://www.cnblogs.com/huangSir-devops/p/18876361
-
在linux系统通过OpenSSL工具自签https证书2024-12-09 1978
-
鸿蒙OS开发指导:【应用包签名工具】2024-04-17 1962
-
哪个X.509证书用于NodeMCU SSL连接?2023-04-27 427
-
CFSSL PKI工具包2022-05-10 491
-
OpenHarmony应用的签名配置的流程解析2022-03-14 4652
-
HarmonyOS应用开发-生成签名证书指纹2022-01-11 2830
-
一种可证安全高效的无证书短签名方案2021-06-21 762
-
签名工作室工具箱2021-04-16 1104
-
在证书存储区中找不到清单签名证书的解决办法?2020-11-06 9625
-
你还在使用自签名SSL证书吗?小心这些漏洞2020-07-02 4842
-
基于无证书环签名的虚拟机可信证明方案2017-12-06 1099
-
驱动程序数字签名工具 (制作数字签名工具)2009-10-24 3606
-
无证书盲签名方案2009-10-21 935
-
具有身份撤销功能的无证书签名方案2009-04-13 638
全部0条评论
快来发表一下你的评论吧 !
