CA证书及密钥对应用笔记

已于 2022-05-30 17:05:55 修改
阅读量2.5k 收藏 6
点赞数
分类专栏: 基础 文章标签: https ssl java 密钥对
于 2022-05-30 17:03:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoffeeAndIce/article/details/125050007
版权

文章目录

证书问题

为了避免再去重新梳理,干脆苟住,一次性分析下来,后面舒服才是真的舒服

证书格式,通常用的格式有pemjkspkcs12

互联生成的格式,通常为pem格式,也是x509

0、常用生成自签名证书方式

myssl :https://myssl.com/create_test_cert.html

samltool:https://www.samltool.com/self_signed_certs.php

1、证书对接概述

整体上,通常对接开发分为两种情况

①客户直接提供根证书 (这里我们定义为A证书)

②我们提供csr供客户签名后,返回给我们的签名证书(这里我们定义为B证书)

1)客户直接提供根证书

我们只需要根据客户提供证书,直接转换为jks即可

参考:https://myssl.com/cert_convert_wasm.html

2)需要客户签名

①生成一个csr(3种方式)

正规流程建议填写好讯息(说到底还是生成密钥对

(1)在线生成:

https://myssl.com/csr_create.html

(2)openssl:
# req 生成签名请求证书文件
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout [$Key_File] -out [$OpenSSL_CSR]

-new: 指定生成一个新的CSR文件。

-nodes:指定密钥文件不被加密。

通常与后续 -newkey 连用

-sha256: 指定摘要算法。

摘要算法这里可选值: -sha256 / -sha384 / -sha512 / -sha1

-newkey rsa:2048 指定密钥类型和长度。

密钥类型可选: rsa / ecdsa
密钥强度可选: 2048 / 3072 / 4096

[$Key_File]: 密钥文件名称。

[$OpenSSL_CSR]: 加密后文件的存放路径。

(3)keytool:
# certreq 生成签名请求证书文件
keytool -certreq -sigalg SHA256withRSA -alias [$Alias] -keystore [$Keytool_Path] -file [$Keytool_CSR]

-sigalg: 密钥算法名称。

可选类型:SHA256withRSA / SHA1withDSA / SHA256withECDSA

-keysize: 密钥长度为2048bit。

可选值参考: 
2048 (when using -genkeypair and -keyalg is "RSA")
1024 (when using -genkeypair and -keyalg is "DSA")
256 (when using -genkeypair and -keyalg is "EC")
56 (when using -genseckey and -keyalg is "DES")
168 (when using -genseckey and -keyalg is "DESede")

[$Alias]: 证书别名,可自定义。

[$Keytool_Path]: 证书文件保存路径。

②客户签发

通常客户会交予CA 签发

(1)利用openssl 自签发证书:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

-days: 过期时间,通常为365的倍数,最长为10年

server.csr: 我们提供的请求签名的csr

ca.crt: Ca 颁发的crt证书

ca.key: Ca颁发的密钥

server.crt: 生成的签名证书,用于提供给我们使用的

(2)利用keytool 自签发证书:
keytool -gencert -infile client.csr -outfile client.cer -alias serverStore -keystore serverStore.jks  -storepass 123456

client.csr: 我们提供的请求签名的csr

client.cer: 生成的自签发证书

serverStore:签发的证书别名

serverStore.jks:crt 由pem转换为jks的证书

123456: 生成jks的加密密码

③转换格式

参考:https://myssl.com/cert_convert_wasm.html

2、格式转换问题

①PEM -> JKS

可加密 ,由crt/cert 转换为jks,密码部分可要可不要。(通常供给java开发使用)

②PEM ->PKCS12(也叫PFX)

可加密 ,由crt/cert 转换为jks,密码部分可要可不要。(通常供给C#,VB等开发使用)

3、证书与签发证书的关系概述

整体上,实际属于A 生成一个证书,不能直接给B,B需要一个证明给A,让A颁发一个次级证书给B,让B能被CA辨识的一个关系。

CA可以是公有提供商,也可以是服务端私有自己作为CA提供商。

Tips这里所谓的提供商,其实是对密钥库的存储检测作用

①例如java应用验证构建

预设应用分为A,B,相对应内容的前缀会以 A_XX及 B_XX来分别代表A、B应用

(1)构建A、B 各自的应用CA证书根节点

此处的alias 名称是用于查询节点使用(虽然最后都会变成小写,但是我还是倔强一下)

#A 伺服器 
keytool -genkey -alias A_root -keyalg RSA -keystore A_root.jks
#B 伺服器
keytool -genkey -alias B_root -keyalg RSA -keystore B_root.jks

#查看jks证书方式
keytool -v -list -keystore xxx.jks

(2)生成证书

(1)此处的alias 名称是用于查询节点使用

(2)A_client.cer 、B_client.cer为根证书

# 生成A 伺服器的证书 A_client.cer
keytool -export -alias A_root -file A_client.cer -keystore A_root.jks
# 生成B 伺服器的证书 B_client.cer
keytool -export -alias B_root -file B_client.cer -keystore B_root.jks

(3)生成证书请求

各自生成csr去让对方签名认证

#生成A伺服器对应的证书请求文件
keytool -certreq -file A.csr -alias A_root -keystore A_root.jks
#生成B伺服器对应的证书请求文件
keytool -certreq -file B.csr -alias B_root -keystore B_root.jks

#查看CSR
openssl req -noout -text -in xxx.csr

(4)签发证书

对证书请求签发操作,使其可被签发方校验. 默认事件90天

#签发B伺服器的证书请求
keytool -gencert -infile B.csr -outfile A_signed.cer -alias A_root -keystore A_root.jks
#签发A伺服器的证书请求
keytool -gencert -infile A.csr -outfile B_signed.cer -alias B_root -keystore B_root.jks

#查看证书
openssl x509 -noout -text -in xxx.crt

(5)加入密钥库

查看密钥库:keytool -v -list -keystore xxx.jks

1)加入单个密钥

需要将双方签发的证书放入自己的密钥库,当然业务上,单方面加对方即可

#A 伺服器
keytool -import -keystore A_root.jks -file A_signed.cer -alias A_client_signed
keytool -import -keystore A_root.jks -file B_signed.cer -alias B_client_signed

#B 伺服器
keytool -import -keystore B_root.jks -file A_signed.cer -alias A_client_signed
keytool -import -keystore B_root.jks -file B_signed.cer -alias B_client_signed
2)加入整个密钥库
# 将B的密钥库导入到A密钥库内
keytool -importkeystore -srckeystore A_root.jks -destkeystore B_root.jks
# 将A的密钥库导入到B密钥库内
keytool -importkeystore -srckeystore B_root.jks -destkeystore A_root.jks

②ssh 作为服务器互信构建(利用密钥对)

实际是以ssh-key作为登录方式,取代单纯密码登入。实际上也是对密钥对的处理

提示: 千万切换用户的时候 以 su - ,同时切换环境变量

(1)创建用户

通常我们下意识应该要禁止root登入,为登入用户创建一个管理用户最佳

# 修改SSHD配置,禁止root登录
# 查找“#PermitRootLogin yes”,段末“yes”改为“no”。
vi /etc/ssh/sshd_config

# 创建用户
# 例如:用户名test
useradd -m test
# 配置密码
passwd test

(2)允许sudo 配置

实际上都是操作文件 vi /etc/sudoers

方式一:动态兼容
# 1、开启注释 
# Allows people in group wheel to run all commands
# 通常 root 用户所在的组称之为 wheel,故我们需要解开注释即可
## centos 
%wheel    ALL=(ALL)    ALL

## ubuntu
%sudo   ALL=(ALL:ALL) ALL


# 2、修改用户test,使其属于root组(wheel)
## centos
usermod -g root test

## ubuntu
sudo usermod -aG sudo test
方式二:写死一了百了
# 直接为用户添加行
## centos ,参照root编写
# Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
test    ALL=(ALL)     ALL

## Ubuntu,参照root编写
# User privilege specification
root    ALL=(ALL:ALL) ALL
test    ALL=(ALL:ALL) ALL

(3)可选变更sshd端口

至于为什么呢?就是为了避免默认端口扫描

其实也是对该文件操作 vi /etc/ssh/sshd_config

# 1、找寻 Port 22,删除#号,从0~65536中选取空闲端口填入 
# 例如:23333
Port 23333

# 2、重启sshd服务
## centos
service sshd restart

## ubuntu
sudo systemctl restart ssh.service

(4)设置ssh-key 登录

1)生成ssh-key

下列示例对应讯息:

ssh-key生成:

test 及 test.pub

# 方式一: 
# 通常ssh-key是如下操作,生成公钥
# -f 文件名 -C 备注  -t 类型
ssh-keygen -t rsa -f test -C "test key"

# 方式二:
# openssl 生成符合格式密钥对
## 1、生成密钥 
openssl genrsa -3 -out rsa_key.private
## 2、生成公钥
openssl rsa -pubout -in rsa_key.private -out rsa_key.public
## 3、公钥转换为ssh 接受的格式PKCS8
ssh-keygen -f rsa_key.public -i -mPKCS8 >id_rsa.pub
## 4、得到私钥 rsa_key.private 和公钥 rsa_key.public
## 则ssh 密钥对为:id_rsa.pub
2)上传公钥到服务器

下列对应示例讯息:

用户:test

ip限制:192.168.0.127

## 方式一: 使用ssh-key
# 1、上传公钥
ssh-copy-id -i ./test.pub  test@192.168.0.127
#相当于将公钥传到 test用户 中授权密钥文件内

# 2、设置公钥权限 (可选,但建议要)
# 1)确保费root用户无法操作
chmod 400 /home/test/.ssh/authorized_keys
# 2)保证权限不被修改 
# chattr +相当于递归处理开启文件属性 ,i为不得任意更动文件或目录。
chattr +i /home/test/.ssh/authorized_keys


## 方式二: openssl生成
# -f 表达默认安装
ssh-copy-id -f -i ./id_rsa.pub test@192.168.0.127

(5)测试ssh登录

登录公钥的权限要是600

#普通ssh-key 生成 ,调用公钥即可
ssh -i  test.pub  test@192.168.0.127
# opensll 生成,调用公钥即可
ssh-copy-id -f -i ./id_rsa.pub test@10.0.20.16

#若ip变更了,缓存中还是旧的,可以清空ssh-agent缓存
# 方式1: 删除指定密钥
ssh-add -d ~/.ssh/test/test
# 方式2: 清空缓存
## 查看缓存记录
ssh-keygen -l -f ~/.ssh/known_hosts
## 清空指定ip
## 例如用 192.168.0.127
ssh-keygen -R 192.168.0.127
CoffeeAndIce
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CA密钥 驱动
12-29
江苏省电子政务证书 CA密钥 驱动
OpensslCA学习笔记
06-08
6. `cacert.pem`:CA证书,由`ca`命令签发。 7. `index.txt`:文本证书库,记录证书状态和摘要信息,用于处理与证书库相关的操作,如生成CRL。 OpenSSL提供了`req`命令,用于生成证书请求。用户可以生成RSA或DSA...
ca证书
code_Ni的博客
07-18 438
----------- keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456 -------------- keytool -genkey -alias client1 -ke...
CA证书_ca 证书 ca 私钥(1)
最新发布
2401_84253894的博客
06-24 351
同时子CA1的证书也会由服务商部署在对应客户端(qian、zhao)上,这样客户端可以用ROOTCA公钥解密【S根CA(PCA1)】,拿到CA1的公钥【PCA1】。攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。当zhao要和sun通讯时,两者分属不同的CACA1和CA2同归ROOTCA管辖,子CA有ROOTCA颁发的证书,子CA的权威性由根CA证明,所以彼此互换证书可互信。(umask 077;
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
CA与KEY
java-coding
02-21 1564
忙了将近2个月终于将手头上的key都能用java来调用了不对CA都对自已的key做了一些手脚。最后还是自已去买key 自已做个小CA(ejbca), 自发证书最好用。经历了这个过程,对 jcom  ,pkcs#11 ,iaik,ibm pkcs#11 for java,jni,等技术有了个初步了解。 有所得   有所得
PKI/CA 密钥
软件开发大神
09-19 2758
 CA------------ 银行的数字证书说明: 如果用户想得到一份属于自己的证书,他应先向银行(可看作CA机构)提出申请。在银行(CA)判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字(用CA的私钥对申请人的证书进行加密)后,便形成证书发给那个用户(申请者)。用户即可凭借该证书登陆网上银行进行相关银行业务>>>>>>  如果银行想
CA证书_ca 证书 ca 私钥,面试必备
m0_60667406的博客
04-07 880
外链图片转存中…(img-IFEfLNdO-1712475101757)][外链图片转存中…(img-O3af9Gxl-1712475101757)][外链图片转存中…(img-qBwT6u95-1712475101757)]
软件设计师 软考中级 考前复习笔记
11-27
- 数字证书:由受信任的证书颁发机构(CA)签发,包含公钥和持有者的身份信息,用于验证网站或用户的合法性。 - 验证方法:用户可以通过验证CA的签名来确认网站公钥的真伪,以确保网站的合法性。 5. **防火墙类型...
OpensslCA.doc
10-28
使用 `req` 指令,你可以生成 RSA 或 DSA 密钥对,创建证书请求,对请求进行签名验证,以及生成自签名证书。这些操作对于建立和维护一个有效的 CA 体系至关重要。 总的来说,OpenSSL 的 `ca` 和 `req` 指令提供了...
PKI学习笔记整理
08-16
### PKI学习笔记整理 #### 一、PKI基础知识概览 **公共密钥基础设施(Public Key Infrastructure, PKI)**是一种安全技术体系,用于管理数字证书以及加密和解密数据所需的密钥。PKI的核心组成部分包括认证中心(CA)、...
CA密钥 解锁工具
12-29
CA密钥 解锁工具
ca.crt 证书
08-06
SSL certificate problem: unable to get local issuer certificate
j2ee笔记.doc
06-03
- CA证书授证中心):CA是权威机构,负责签发和管理数字证书,确保证书的真实性和可靠性。在浏览器中配置CA证书,可以安全地进行加密通信和数字签名操作。 综上所述,J2EE中的安全机制涉及到多种加密算法和...
CA证书_ca 证书 ca 私钥(3),带你全面解析网络安全框架体系架构view篇
m0_60667406的博客
04-07 1658
发送者:使用接收者的公钥来加密消息,将加密后的消息发送给接收者接收者:使用秘钥来解密消息。
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7398
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
Plugging in CA certificate and key
Ybt_c_index的博客
05-18 318
这个task展示运维如何把现有的证书密钥插入到Istio CA中。 默认情况下,Istio CA生成自签名CA证书密钥,并使用它们签署工作负载证书。Istio CA也可以使用运维指定证书和私钥签署工作负载证书。这个task演示了一个插入证书密钥到Istio CA中的例子。 Before you begin 安装Istio。注意在 installation steps 中的第5步开启身...
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
加密通信(三):CA证书
zhanghl的博客
02-21 816
CA证书的作用机制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值