利用GmSSL制作SM2国密证书
Part 0前言
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应用。GmSSL项目是OpenSSL项目的分支,并与OpenSSL保持接口兼容。因此GmSSL可以替代应用中的OpenSSL组件,并使应用自动具备基于国密的安全能力。GmSSL项目采用对商业应用友好的类BSD开源许可证,开源且可用于闭源的商业应用。
GmSSL项目由北京大学关志副研究员的密码学研究组开发维护,项目源码托管于GitHub。自2014年发布以来,GmSSL已经在多个项目和产品中获得部署与应用,并获得2015年度“一铭杯”中国Linux软件大赛二等奖(年度最高奖项)与开源中国密码类推荐项目。GmSSL项目的核心目标是通过开源的密码技术推动国内网络空间安全建设。
等级保护基本要求GB/T 22239中对密码管理提出以下要求:
a) 应遵循密码相关国家标准和行业标准;
b) 应使用国家密码管理主管部门认证核准的密码技术和产品。
本文利用GmSSL来制作SM2国密证书,以期代替用RSA算法制作的SSL证书,探索如何满足等保相关技术要求。
实验环境:CentOS 6.X +
Part 1 安装GmSSL
1、下载GmSSL
# wget https://github.com/guanzhi/GmSSL/archive/master.zip
# unzip master.zip
2、编译安装GmSSL
# ./config
# make
# make install
# ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
# ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
3、检查GmSSL版本
# gmssl version -a
4、测试GmSSL加密
SM3 digest generation(哈希算法,类似MD5)
# echo -n "abc" | gmssl sm3
(stdin)= 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
SM4 encryptiona and decryption(对称算法,类似AES、3DES)
# gmssl sms4 -in README.md -out README.sms4
# gmssl sms4 -d -in README.sms4
SM2 private key generation(非对称算法,类似RSA)
# gmssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc:named_curve -out skey.pem
Derive the public key from the generated SM2 private key:
# gmssl pkey -pubout -in skey.pem -out vkey.pem
SM2 signature generation and verification:
# gmssl sm3 -binary README.md | gmssl pkeyutl -sign -pkeyopt ec_scheme:sm2 -inkey skey.pem -out README.md.sig
# gmssl sm3 -binary README.md | gmssl pkeyutl -verify -pkeyopt ec_scheme:sm2 -pubin -inkey vkey.pem -sigfile README.md.sig
# gmssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:sm2p256v1 -pkeyopt ec_param_enc:named_curve -out dkey.pem
# gmssl pkey -pubout -in dkey.pem -out ekey.pem
# echo "Top Secret" | gmssl pkeyutl -encrypt -pkeyopt ec_scheme:sm2 -pubin -inkey ekey.pem -out ciphertext.sm2
# gmssl pkeyutl -decrypt -pkeyopt ec_scheme:sm2 -inkey dkey.pem -in ciphertext.sm2
Self-signed SM2 certificate generation:
# gmssl req -new -x509 -key skey.pem -out cert.pem
Part 2 用GmSSL制作国密证书之SM2
1、创建demoCA目录,在demoCA目录下执行:
# mkdir certs crl newcerts private
# touch index.txt
# echo "01" > serial
2、将通过以下自签名生成的cacert.pem放到demoCA目录下,
cakey.pem放到demoCA/private
3、创建公私钥和证书请求:
# gmssl ecparam -genkey -name sm2p256v1 -out cakey.pem
# gmssl req -new -sm3 -key cakey.pem -out cacsr.pem
4、自签名
# gmssl req -x509 -sm3 -days 3650 -key cakey.pem -in cacsr.pem -out cacert.pem
# gmssl x509 -req -days 3650 -sm3 -in cacsr.pem -signkey cakey.pem -out cacert.pem
5、把pem转化成cer
# gmssl x509 -inform pem -in cacert.pem -outform der -out cacert.cer
6、ca签名(在demoCA的父目录下执行)
# gmssl ca -md sm3 -in client_csr.pem -out client_cert.pem -days 3650
7、显示证书信息:
# gmssl x509 -text -noout -in cacert.pem
# gmssl req -in cacsr.pem -noout -text
8、证书通信测试命令
SERVER:
# gmssl s_server -key server_key.pem -cert server_cert.pem -CAfile cacert.pem -cipher ECDHE-SM4-SM3 -verify 1
CLIENT:
# gmssl s_client -key client_key.pem -cert client_cert.pem -CAfile cacert.pem -cipher ECDHE-SM4-SM3 -verify 1
注:
1、通过测试的GmSSL版本为95c0dba,下载地址https://github.com/guanzhi/GmSSL.git
2、以上制作的证书均为:Signature Algorithm: sm2sign-with-sm3
3、当前浏览器如IE、Firefox、Chrome等暂不支持SM2国密证书。需要下载专门的国密浏览器才支持SM2国密证书。
因IE浏览器不兼容国密算法,故字段“签名算法”仅显示国密证书的OID:1.2.156.10197.1.501
【全文结束】
