概述
GitHub地址:https://github.com/cloudflare/cfssl
官方地址:https://pkg.cfssl.org
CFSSL(CloudFlare's PKI and TLS toolkit)由 CloudFlare 用go语言开发的一个开源工具,用于证书签名、验证和管理。
生成自签证书的方式有多种,CFSSL支持签发三种类型的证书:client证书、server证书以及集群成员之间的peer证书。推荐使用cfssl工具或者openssl工具来生成,openssl也是开源的证书生成工具。
生成证书基本概念
CA(证书颁发机构)
CA(Certificate Authority)是 PKI(公钥基础设施)体系的核心信任锚点,负责:
- 证书签名:验证申请者身份后,使用自己的私钥为其颁发数字证书。
- 信任分发:通过公开的根证书(Root CA),让客户端信任其签署的所有证书。
- 证书管理:包括证书颁发、更新、撤销和状态查询(OCSP/CRL)。
CA证书类型类型分为三类,分别是:
- 根 CA(Root CA):
自签名证书,位于信任链顶端。
通常离线存储,极少直接签署终端用户证书。 - 中间 CA(Intermediate CA):
由根 CA 签署,用于分担证书签署工作。
即使私钥泄露,影响范围也仅限于其签署的证书。 - 终端 CA:
直接签署服务器 / 客户端证书的 CA。
安全规范实践:
- 分层设计:使用根 CA → 中间 CA → 终端证书的三级结构。
- 私钥保护:根 CA 私钥必须离线存储(如 HSM 硬件安全模块)。
- 定期轮换:中间 CA 证书有效期通常为 3-5 年,需定期更新。
CSR(证书签名请求)
CSR(Certificate Signing Request)是客户端向 CA 提交的申请文件,创建证书前需要先生成 CSR。
CSR文件通常包含以下信息:
- 公钥:申请者生成的公钥。
- 身份信息:如域名、组织名称、国家代码等。
- 扩展字段:如 SAN(Subject Alternative Name)、密钥用途等。
生产CSR的注意事项:
- 私钥绝对保密:CSR 生成过程中产生的私钥需严格保密,不可泄露。
- 信息准确性:CSR 中的域名(CN/SAN)必须与服务器实际域名一致,否则 TLS 握手会失败。
证书配置文件
主要用来定义证书的使用场景、有效期等参数,CFSSL使用 JSON 格式(如 ca-config.json)的证书配置文件
三者工作流程:
Linux安装cfssl工具
cfssl依赖三个工具包,分别是:cfssl、cfssljson、cfss-certinfo
-
cfssl:cfssl 是工具集的核心,提供了证书生命周期管理的所有功能:
- 证书生成:创建自签名证书、CA 证书和用户证书。
- 证书签名:处理证书签名请求(CSR)并颁发证书。
- 配置管理:使用 JSON 配置文件定义证书策略和使用场景。
- CA 管理:创建和管理证书颁发机构(CA)层次结构。
- OCSP/CRL:生成在线证书状态协议(OCSP)响应和证书撤销列表(CRL)。
-
cfssljson:专门用于处理 cfssl 输出的 JSON 数据,主要功能包括:
- 解析 JSON 输出:将 cfssl 生成的 JSON 格式证书、密钥和 CSR 转换为单独的文件。
- 文件保存:自动创建并保存证书(.pem)、私钥(.key)和 CSR(.csr)文件。
-
cfssl-certinfo:用于查看和验证证书的详细信息,功能包括:
- 证书解析:显示证书的元数据(如有效期、颁发者、主题、公钥等)。
- 证书链验证:检查证书的签名链是否有效。
- 格式转换:将证书以人类可读的格式输出。
下载工具
curl -L -o /usr/local/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -L -o /usr/local/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 授予执行权限
chmod +x /usr/local/bin/cfssl* cfssl gencert命令详解
cfssl gencert 是 CloudFlare PKI 工具集中用于生成证书签名请求(CSR)和证书的核心命令。
核心参数:
- -ca [path]:指定用于签名的 CA 证书文件路径(PEM 格式)。
示例:-ca=ca.pem - -ca-key [path]:指定 CA 的私钥文件路径(PEM 格式)。
示例:-ca-key=ca-key.pem - -config [path]:指定证书签名配置文件(JSON 格式),定义证书的有效期、用途等策略。
示例:-config=ca-config.json - -profile [name]:指定使用配置文件中的哪个签名策略。对应CA配置文件中的profiles字段,其值可以为server、client、peer、ca、kubernets等
示例:-profile=server - -hostname [list]:指定证书的 Subject Alternative Name (SAN) 字段,包含域名和 IP 地址,多个值用逗号分隔
示例:-hostname=example.com,www.example.com,192.168.1.1 - -cn [name]:指定证书的 Common Name (CN)
示例:-cn="My Server" - -key-algo [algo]:指定密钥算法,支持 rsa、ecdsa 等,默认rsa
示例:-key-algo=rsa - -key-size [bits]:指定密钥长度(RSA 建议 2048+,ECDSA 建议 256+)
示例:-key-size=2048 - -initca:生成自签名的根 CA 证书。
示例:cfssl gencert -initca ca-csr.json - -self-signed:生成自签名证书(非 CA 证书)
示例:cfssl gencert -self-signed server.json 实战:生成证书
创建根CA文件
# 根ca文件,需要将注释去掉 [root@master ~/cfssl]# cat ca-config.json { "signing": { "default": { # 配置默认证书有效期为10年,通常用于根CA证书 "expiry": "87600h" }, "profiles": { # 定义server端的证书 "server": { # 1年有效期 "expiry": "8760h", "usages": ["signing", "key encipherment", "server auth"] }, # 定义client端的证书,有效期为一年 "client": { "expiry": "8760h", "usages": ["signing", "key encipherment", "client auth"] }, # 定义peer端的证书,有效期为一年 "peer": { "expiry": "8760h", "usages": ["signing", "key encipherment", "server auth", "client auth"] }, # 定义kubernetes的证书,有效期为一年 "kubernetes": { "expiry": "8760h", "usages": ["signing", "key encipherment", "server auth", "client auth"] }, # 定义ca的证书,有效期为五年 "ca": { "expiry": "43800h", "usages": ["signing", "key encipherment", "server auth", "client auth"] } } } } 配置文件字段说明:
usages:指定的证书用途
- signing:允许证书用于数字签名。数字签名可以确保数据在传输过程中不被篡改,并且可以验证数据的来源。
- key encipherment:允许证书用于加密密钥。在 TLS 握手过程中,客户端和服务器会交换会话密钥,这个过程通常使用证书进行加密。
- server auth:专门用于服务器身份验证。当客户端连接到服务器时,服务器会出示自己的证书,客户端会验证这个证书是否由信任的 CA 颁发,以及证书中的域名是否与自己要访问的域名一致。
- client auth:专门用于客户端身份验证。在双向 TLS 中,服务器也会要求客户端提供证书,以验证客户端的身份。
各端证书使用场景:
- server:HTTPS 网站、SMTP、IMAP、POP3 等邮件服务器、VPN 服务器、任何需要向客户端证明自己身份的服务
- client:企业内部应用,要求员工使用客户端证书登录、API 访问,使用客户端证书进行身份验证、安全邮件客户端,使用证书进行身份验证
- peer:区块链网络中的节点通信、分布式系统中节点间的安全通信、金融机构之间的安全数据交换
- kubernetes:Kubernetes 组件证书(如 API Server、etcd)。
- ca:中间 CA 证书(需配合 -ca 参数使用)。
创建根 CA CSR 配置文件
# 定义CSR文件,需要将json文件中的注释去掉 [root@master ~/cfssl]# cat ca-csr.json { # 根 CA 的通用名称,对于服务器证书,CN 通常是域名(如www.example.com); # 对于 CA 证书,CN 是 CA 的标识名称。 "CN": "My Root CA", "key": { # 加密算法 "algo": "rsa", # 密钥长度 "size": 4096 }, "names": [ { # 国家代码,CN代表是中国 "C": "CN", # 省份 "ST": "Beijing", # 城市或地区 "L": "Beijing", # 组织名称(Organization),可以理解成公司名称 "O": "rootca", # 组织单位(Organizational Unit),可以理解成公司部门 "OU": "ca" } ], # 根 CA 证书的配置,指定有效期为10年 "ca": { "expiry": "87600h" } } 生成根 CA 证书和私钥
[root@master ~/cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca/ca 2025/05/15 11:23:34 [INFO] generating a new CA key and certificate from CSR 2025/05/15 11:23:34 [INFO] generate received request 2025/05/15 11:23:34 [INFO] received CSR 2025/05/15 11:23:34 [INFO] generating key: rsa-4096 2025/05/15 11:23:34 [INFO] encoded CSR 2025/05/15 11:23:34 [INFO] signed certificate with serial number 492661591325776778969123330542788728689689366584 命令解释:
cfssl gencert:cfssl 工具的子命令,用于生成证书 -initca:指定生成自签名的根 CA 证书 ca-csr.json:证书签名请求(CSR)的配置文件路径,对应上面创建的 ca-csr.json cfssljson:处理 cfssl 生成的 JSON 输出并转换为文件 -bare ca:指定输出文件名前缀为 ca,会生成以下三个文件: ca.pem:根 CA 证书(自签名) ca-key.pem:根 CA 的私钥(必须严格保密!) ca.csr:证书签名请求(通常自签名 CA 不需要保留此文件) 查看当前的目录:
[root@master ~/cfssl]# tree . ├── ca │ ├── ca.csr │ ├── ca-key.pem # 根 CA 私钥(严格保密!) │ └── ca.pem #根 CA 证书(公钥,需分发给客户端) ├── ca-config.json ├── ca-csr.json 生成中间CA证书和私钥
中间CA证书文件
[root@master ~/cfssl]# cat intermediate-csr.json { "CN": "My Intermediate CA", "key": { "algo": "rsa", "size": 4096 }, "names": [ { "C": "CN", "ST": "Beijing", "L": "Beijing", "O": "baidu", "OU": "Intermediate CA" } ] } 生成中间 CA 证书和私钥
[root@master ~/cfssl]# cfssl gencert -ca=ca/ca.pem -ca-key=ca/ca-key.pem -config=ca-config.json -profile=ca intermediate-csr.json | cfssljson -bare intermediate/intermediate 2025/05/15 11:29:49 [INFO] generate received request 2025/05/15 11:29:49 [INFO] received CSR 2025/05/15 11:29:49 [INFO] generating key: rsa-4096 2025/05/15 11:29:49 [INFO] encoded CSR 2025/05/15 11:29:49 [INFO] signed certificate with serial number 722124812765078011706922545691404003361157472292 2025/05/15 11:29:49 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for websites. For more information see the Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org); specifically, section 10.2.3 ("Information Requirements"). 查看文件
[root@master ~/cfssl]# tree . ├── ca │ ├── ca.csr │ ├── ca-key.pem # 根 CA 私钥(严格保密!) │ └── ca.pem #根 CA 证书(公钥,需分发给客户端) ├── ca-config.json ├── ca-csr.json ├── intermediate │ ├── intermediate.csr │ ├── intermediate-key.pem # 中间 CA 私钥(需保密) │ └── intermediate.pem #中间 CA 证书 └── intermediate-csr.json 生成服务器证书
配置服务器证书文件
[root@master ~/cfssl]# cat server-csr.json { "CN": "*.huangsir-devops.cn", "key": { "algo": "rsa", "size": 2048 }, "hosts": [ "*.huangsir-devops.cn", "www.huangsir-devops.cn", "api.huangsir-devops.cn", "localhost", "127.0.0.1", "10.37.97.56" ] } 使用中间CA签署服务器证书
[root@master ~/cfssl]# cfssl gencert -ca=intermediate/intermediate.pem -ca-key=intermediate/intermediate-key.pem -config=ca-config.json -profile=server server-csr.json | cfssljson -bare server/server 2025/05/15 11:37:29 [INFO] generate received request 2025/05/15 11:37:29 [INFO] received CSR 2025/05/15 11:37:29 [INFO] generating key: rsa-2048 2025/05/15 11:37:30 [INFO] encoded CSR 2025/05/15 11:37:30 [INFO] signed certificate with serial number 666935063085228543415452828659279667302813819643 查看生成的文件
[root@master ~/cfssl]# tree . ├── ca │ ├── ca.csr │ ├── ca-key.pem │ └── ca.pem ├── ca-config.json ├── ca-csr.json ├── intermediate │ ├── intermediate.csr │ ├── intermediate-key.pem │ └── intermediate.pem ├── intermediate-csr.json ├── server │ ├── server.csr │ ├── server-key.pem #服务端私钥 │ └── server.pem #服务端公钥 └── server-csr.json nginx测试配置
[root@master /data/nginx]# cat /etc/nginx/conf.d/test1.conf server{ listen 443 ssl; server_name www.huangsir-devops.cn; # 配置公钥证书 ssl_certificate /etc/ssl/server/server.pem; # 配置私钥证书 ssl_certificate_key /etc/ssl/server/server-key.pem; # 推荐的 SSL 协议和加密算法(安全配置) ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers off; root /data/nginx/; location / { index index.html; } } # http跳转到https server { listen 80; server_name www.huangsir-devops.cn; return 301 https://www.huangsir-devops.cn$request_uri; } 生成客户端证书
配置客户端证书文件
[root@master ~/cfssl]# cat client-csr.json { "CN": "client", "key": { "algo": "rsa", "size": 2048 } } 使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert -ca=intermediate/intermediate.pem -ca-key=intermediate/intermediate-key.pem -config=ca-config.json -profile=client client-csr.json | cfssljson -bare client/client # 查看证书 [root@master ~/cfssl]# tree . ├── ca │ ├── ca-key.pem │ ├── ca.csr │ └── ca.pem ├── ca-config.json ├── ca-csr.json ├── client │ ├── client-key.pem # 公钥 │ ├── client.csr │ └── client.pem # 私钥证书 ├── client-csr.json ├── intermediate │ ├── intermediate-key.pem │ ├── intermediate.csr │ └── intermediate.pem ├── intermediate-csr.json ├── server │ ├── server-key.pem │ ├── server.csr │ └── server.pem └── server-csr.json 4 directories, 17 files 生成K8s证书
K8s证书有很多类型,
生成API Server证书
配置客户端证书文件
[root@master ~/cfssl]# cat k8s-apiserver-csr.json { "CN": "kubernetes-apiserver", "key": { "algo": "rsa", "size": 2048 }, "hosts": [ # Kubernetes服务IP (Service Cluster IP Range) "10.0.0.30", "10.0.0.31", "10.0.0.32" # API Server IP "192.168.1.10", "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local", "localhost", "127.0.0.1" ] } 使用中间CA签署客户端证书
[root@master ~/cfssl]# cfssl gencert -ca=intermediate/intermediate.pem -ca-key=intermediate/intermediate-key.pem -config=ca-config.json -profile=kubernetes k8s-apiserver-csr.json | cfssljson -bare api-server/api-server 持续更新中
