SSL 根证书的相关概念

最新推荐文章于 2024-05-13 13:01:29 发布
最新推荐文章于 2024-05-13 13:01:29 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: HTTP技术 文章标签: ssl http SSL根证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ababab12345/article/details/120202618
版权

什么是可信任根证书库

      我们在浏览一个 HTTPS 网站的时候,服务器会发送证书链,但光有证书链,客户端是不能完成证书校验的,必须在浏览器本地机器上有一张根证书才能完成签名认证,也就是说客户端必须信任根证书才能构建信任基础。各个 CA(证书签发机构) 机构为了开展业务,必须申请将自己的根证书嵌入到各个操作系统平台中,如果申请(向微软、苹果或Linux发布厂家申请)被拒绝,CA 机构将无法开展业务,即如果操作系统厂家不允许某个CA机构在自己的操作系统里打包安装该CA的根证书,则该CA签发的证书是不被认可的。

      对于普通用户和开发者来说,一般情况下无需了解可信任根证书库,但是有些情况下,也有可能希望更新本地的可信任根证书库,比如:

(1)在开发环境中应该避免使用线上证书,因为证书和私钥一起保存,由于开发环境比较混乱,容易泄露私钥,从而带来安全风险。

在这种情况下,可以生成一张自签名证书,由于浏览器不信任该证书,访问网站的时候总会提示安全风险,为了避免频繁的提示,可以手动将证书添加到浏览器的可信任根证书库中。

(2)企业内部构建一个私有 CA,然后给自己的业务签发证书,这种情况很常见,比如一些内部管理系统完全可以使用自签发的证书,减少证书申请成本,为避免员工访问的时候提示安全风险,可以将证书添加到浏览器的可信任根证书库中。

Windows 根证书库

       微软的操作系统采用 CryptoAPI库, CryptoAPI是密码学底层代码库,它包含系统根证书库,IE、Edge、Windows 平台的 Chrome 用的都是微软的系统根证书库。

      微软的系统根证书库保存在注册表中,由于 windows 电脑是一个多用户操作系统,且允许组策略管理,所以根证书库存在于多个位置,比如:

  • CERT_SYSTEM_STORE_CURRENT_USER,代表当前登陆用户,对应的证书存储在 HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates 目录。
  • CERT_SYSTEM_STORE_LOCAL_MACHINE,代表本机,对应的证书存储在 HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates 目录。
  • CERT_SYSTEM_CURRENT_USER_GROUP_POLICY,代表当前用户组策略,对应的证书存储在 HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates 目录。

一般情况下,windows 系统的登陆用户使用的根证书库保存在 CERT_SYSTEM_STORE_CURRENT_USER,微软提供了一个 certmgr 工具管理根证书(实际上操作的是注册表),在 cmd 命令提示符中输入 certmgr 打开证书管理工具,如下图:

对于我们来说,最要关心是“受信任的根证书颁发机构”,所有根证书都存储在这个目录下,可以通过 certmgr 工具和 certmgr 命令行添加或删除根证书。

Chrome 如何在 windows 系统中更新证书

参见:Windows下用OpenSSL生成CA根证书及签发server端证书_白袍小将的博客-CSDN博客


 

大飞飞鱼
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
证书安装
11-14
- **火狐(Firefox)浏览器**:由于火狐浏览器采用自建的证书链表,因此对于Firefox而言,需要手动导入自定义的SSL证书。具体步骤如下: - **步骤3.1.1**: 打开Mozilla Firefox火狐浏览器,在右上角的“打开菜单”...
java证书认证实现https访问
01-04
`keytool -importcert -file root.crt -keystore cacerts -storepass changeit -alias myrootca`,这里的`root.crt`是你的证书文件,`myrootca`是你给证书分配的别名。 3. **处理证书验证异常**:在Java代码中...
ssl 证书 证书_SSL证书
culin0274的博客
08-10 650
ssl 证书 证书In order to be able to safely and securely accept and send sensitive information through a website, it is extremely important that information is encrypted when it is being sent back and for...
SSL证书
Shen_Guo的博客
11-18 3599
在一个内部私有网络中,如果我们对安全性的要求不是很高,要想实现SSL通信,我们可以使用自签名证书。简而言之,就是自己给自己签发一个证书,在这个环节中,我们自己充当了 CA中心。   我们在访问一些网站时,有时会显示以下警告:   这是因为有些网站使用组织或个人自己签发的证书,浏览器不信任这个证书的颁发机构,当我们访问网站时,就会收到这种警告。 浏览器是如何信任证书的颁发机构呢?这里我们使
https网络编程——使用openssl库自建证书_openssl 生成证书(1)
最新发布
2401_83817769的博客
05-13 402
建立serial,并在文件中填入0001,被签发的证书都会有序号和位置,记录这份证明在早先签署的和发布的单位签字并且发布的证明号码,这个文件能使用为记录签署和发布证明号码的证明,每次签署和发行证明OpenSSL证明可能自动地更新这个文件。(具体没什么用,但必须要有)每次签署和发行证明OpenSSL证明可能自动地更新这个文件建立index.txt,这个文件能为纪录使用证明签署和发布证明纪录。证明普通的情况用途为对标志和发行传递的证明,再标志和问题终端证明由传递的证明(服务器,客户端)。
SSL证书是什么
-
04-07 561
从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA 中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?这些信息与身份证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用,这与身份证上的公章类似。
SSL证书简介
李金华的博客
11-17 140
同时,中国法院网采购的证书也采用了DigiCert的证书,这保证了证书在各种浏览器环境中的兼容性。SSL证书提供了身份验证机制,确保用户连接的是预期的服务器,而不是恶意或伪装成合法网站的服务器。SSL证书通常具有有效期限,需要定期更新,以保障证书的安全性和可信性。这是确保证书有效性的重要措施,因为在证书的有效期内,可能会出现证书撤销或失效的情况。: SSL证书保证了数据在传输过程中的加密,使得拦截或窃听通信变得极为困难,特别是对于保护用户的敏感信息如信用卡号、密码等方面至关重要。
本地数字签名证书SSL
04-09
8. **证书链**:在某些情况下,除了证书外,还需要提供中间证书,以构成完整的证书链。这使得浏览器能够验证证书的完整路径,确保由可信的CA签发。 9. **安全注意事项**:即使在测试环境中,也要确保证书的安全性...
微信支付rootca.pem通用证书文件
03-06
在理解这个文件之前,我们需要先了解几个基本概念:数字证书证书SSL/TLS加密。 数字证书是一种电子文档,它包含了公开密钥的所有者信息(比如组织名称、地理位置等)以及证书颁发机构的签名。在互联网通信中...
证书制作成exe文件
06-03
这些证书存储在用户的信任证书存储区,如果一个网站的SSL证书是由一个已知的、信任CA签发的,浏览器就会显示绿色锁图标,表明连接是安全的。 制作证书成exe文件的过程主要包括以下步骤: 1. 创建...
导入浏览器访问信任证书
02-14
现在盗版系统,新装浏览器后,访问一些网站经常提示http安全证书过期,在谷歌里,信任机构中导入CA证书,其实它就是一个证书集合,导入后即可解决问题
SSL证书证书和中间证书的区别
尘雨::执着VC
07-01 1377
SSL证书证书和中间证书的区别。 什么是证书证书是指CA机构颁发SSL证书的核心,是信任链的起始点。 证书是浏览器是否对SSL证书每个浏览器都有一个证书库?有的浏览器是采用自主的证书库,而一些浏览器则采取第三方的证书库。 而证书库是下载客户端浏览器时预先加载证书的合集。因此证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书信任证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。 什么是证书链? 浏览器是如何鉴定信任网站的SSL
fiddler抓取https,提示“CA 证书不在信任的存储区域”的解决方法
Eayonz的博客
03-27 6301
背景: fiddler抓取终端https信息,提示:“由于CA 证书不在“信任证书颁发机构”存储区中,所以它不信任” 解决方法: 通过在电脑端下载证书,将证书导入到“信任证书颁发机构”存储区中解决该问题,具体如下: 一、win+r打开运行对话框 输入mmc并回车 二、点击左上角:文件–>添加删除管理单元 三、在可用的管理单元区域中,选择:证书,并点击添加–>确定 四、在控制台节点中展开证书,选中信任证书颁发机构,在右侧对象类型中右击证书,选中所有任务并进行导入操作
证书导入到“信任证书颁发机构”存储区中
BaiCai的CSDN
03-20 2万+
问题: 解决方法: win+r 运行mmc; 文件>添加删除管理单元; 在可用的管理单元中选择”证书“,点击添加》确定; 在控制节点中展开证书信任证书颁发机构》证书,右击所有任务》导入. 这样就可以啦。 来源:https://blog.csdn.net/luyangbin01/article/details/50972693?%3E 图片为借鉴后实际操作...
Charles Windows10使用 证书安装 过期重设 证书加入到信任目录 配置访问WhatsApp
王森的博客
06-15 6184
今天遇到的奇葩问题是之前的电脑上有安装这个Charles也注册了,但是就是不能用,我重新卸载,把Charles相关的所有数据都删除了(用everthing)然后再安装后可用了。4、在控制节点中展开证书-->信任证书颁发机构-->证书,右击所有任务-->导入;这个隐藏的特别深,在安装证书这里,所以这里要记下来,不然以后自己也得忘。由于CA 证书不在“信任证书颁发机构”存储区中,所以它不信任。3、在可用的管理单元中选择”证书“,点击添加-->确定;除了网上找,最快的就是淘宝买一个,省时省力。
已处理证书链,但是在不信任提供程序信任证书中终止-Windows 7安装.Net Framework 4.6.2
热门推荐
互联说
02-13 23万+
已处理证书链,但是在不信任提供程序信任证书中终止,Windows 7安装.Net Framework 4.6.2时出现此问题
打开证书存贮区的几种方式
wdt3385的专栏
07-19 1106
来源:MS SDK The following examples provide code to open a variety of common certificate stores. This is a series of code fragments and is not a stand-alone program. // 1. Open the MY system stor
(一)--使用RSA公钥证书解密
子曰小玖的博客
04-14 4082
最近要用rsa的公钥解密,这个公钥存储在公钥证书里面,这个公钥证书呢… 安装在了windows操作系统里。以下是讲解部分,如果不想看的直接跳跃到最末尾的代码部分。 公钥–>公钥证书–>公钥证书库(Windows) 我要是使用它呢,就要反向过来: 解密<–提取公钥<–找到公钥证书<–打开公钥证书库(Windows) 当时我想这活没难度so easy, 可第一步就有点尴...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值