HTTPS - 自认证根证书CA生成/签发/发布

最新推荐文章于 2024-05-12 17:30:42 发布
最新推荐文章于 2024-05-12 17:30:42 发布
阅读量3.3k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhxiaoxu/article/details/78975646
版权


即使是非对称加密系统,也不能保证公钥的分发是可靠的. 为了防范公钥分发过程中的中间人攻击,需要一个可信的"始祖"公证人,这就是CA机构存在的意义.

由CA签发证书认证网站的过程

  1. CA机构生成密钥对: 公钥 ca.cer 和 私钥 ca.key
  2. 浏览器/操作系统携带证书ca.cer
  3. 网站生成私钥 cert.key
  4. 网站将公钥及网站信息(域名/组织等),提交给CA机构
  5. CA机构使用私钥ca.key签发网站证书cert.cer
  6. 网站运营商通过cert.key和 cert.cer运行https
  7. 用户访问网站,获得cert.cer,由于该证书使用CA机构的私钥签发,因此可以通过保存在本地的公钥ca.cer验证
  8. 验证通过并得到了公钥-> 显示绿色https标志; 否则,提示用户风险信息
  9. 用户通过公钥与网站服务器交换对称加密密钥,进行正式的SSL会话

通过上述步骤可以看出,只要能保证网站公钥的可靠性即可,所以如果客户端直接存放了网站的证书,那么也是可以保证https正常进行的.
但是无论是何种证书,都需要可靠的分发到客户端才能保证安全.在开发过程中我们可能有各种各样的服务端,相较于为每一个服务端向客户端分发证书,还不如直接分发根证书,这样只需一次分发,客户端就可以完成后续的签发过程.

自认证CA根证书生成及签发

证书生成过程可以通过openssl完成.为了简化操作,我写了一个shell脚本,只需两步即可生成根证书及使用根证书签发网站证书
保存以下代码为gen_crt.sh,然后按照帮助内容使用即可.

  1. 生成根证书
    ./gen_crt.sh root aes128 2048 365 "/CN=MyCA"

    此时目录下有ca.key及ca.cer两个文件,ca.cer需要发布到客户端
    为了保证私钥的安全,生成过程中需要一个对ca.key加密的密码

  2. 签发网站证书
    ./gen_crt.sh sign aes128 2048 365 "/CN=www.mysite.com" ca.key ca.cer

为了保证私钥的安全,生成过程中需要一个对cert.key加密的密码.

最低0.47元/天 解锁文章
dhxiaoxu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
https证书替换文件
06-04
https证书替换文件,如遇到wget https://xxx.com/xxx等证书过期问题,但实际ssl证书未过期,很可能是ssl供应商的证书过期,需要替换一下
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
总结来说,OpenSSL 提供了生成和管理SSL证书的全套工具,通过创建CA证书、服务器证书和客户端证书,我们可以实现SSL单向认证和双向认证,从而确保网络通信的安全。理解并熟练运用这些命令,对于任何需要处理加密通信...
HTTPS连接过程及证书自定义认证
weixin_34055910的博客
12-15 568
2019独角兽企业重金招聘Python工程师标准>>> ...
【Linux网络】Https【下】{CA认证/证书签发认证/安全性/总结}
最新发布
A progressive ape!
05-12 780
{CA认证/证书签发认证/安全性/总结}
https生成证书、服务证书
syj0301的专栏
08-20 892
假设要为172.23.10.232生成证书。 1.生成自签证书 touch {serial,index.txt} echo 01 >serial openssl genrsa -out cakey.pem 2048 openssl req -x509 -new -key cakey.pem -out newcacert.pem -days 3650 写如下信息 Country Name (2 letter code) [XX]:CN State or Province Nam.
https认证 localhost
venceinfo的专栏
10-27 970
localhost 证书 - Let's Encrypt - 免费的SSL/TLS证书
自己制作自认证证书
Robin的专栏
08-18 1124
echo 生成CA证书openssl genrsa -out root/root-key.pem 1024openssl req -new -out root/root-req.csr -key root/root-key.pem -config openssl.cnfCNBEIJINGbeijingtestCAtestorgtestertester@testorg.com111111.opens
certstrap:用于引导CA证书请求和签名证书的工具
01-28
改编自etcd-ca。 如果您不想处理openssl,其众多选项或配置文件,certstrap是一个非常方便的应用程序。 常见用途 certstrap允许您构建自己的证书系统: 初始化证书颁发机构 创建主机的身份和证书签名请求 签名并...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
OpenSSL 生成 CA 证书 PKCS#12 PEM 格式转换 OpenSSL 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持 SSL/TLS 协议的实现。 OpenSSL 工具箱中包含了大量实用的命令和选项,...
CA证书,web搭建
12-26
我们的CA证书会弹出安全警报,是因为我们没有从浏览器信任的证书颁发机构购买证书。因此,浏览器不认识我们的CA证书,导致安全警报。 通过本文,我们已经了解了如何搭建Web服务器和颁发CA证书。我们还了解了为...
Kubernetes中的证书工作机制详解
11-29
在 Kubernetes 中,每个组件都可能需要服务器端证书(含公钥和私钥)、客户端证书(同样含公钥和私钥)以及相应的 CA 证书来验证对方的身份。 - 服务器端证书:证明服务器身份的数字证书,包含服务器的公钥和身份...
通过Authentication Challenge来信任自签名Https证书
Sinolife0605的博客
11-08 443
在开发阶段我们我们经常使用自签名的证书来部署我们的后台rest api。但是在iOS中调用的时候就会因为证书不被信任而调用api不成功。这时候我们就需要通过实现某些网络回调函数来自定义证书的验证逻辑。(在iOS中一般通过UrlSession(OC中是NSUrlSession)来进行网络通信,这里以UrlSession为例)。首先我们需要了解几个概念。 Challenge      C...
https加中级证书证书
CRUD搬砖人
12-07 409
https加中级证书证书
https证书验证
热门推荐
Doarcutine的专栏
12-22 2万+
1.中间人攻击对于http协议,中间人攻击(man in the middle)是一种著名的攻击方式。 图中John和Mary作为通信的双方,Frank为攻击者 1. John向Mary发送一段数据 2. Frank截获了John的包,窃取/修改数据后,伪装成John继续将包转发给Mary 3. Mary不知道Frank的存在,认为只是收到了来自John的数据,因为返回一段数据给John
自建CA证书签发https证书
****的博客
08-06 1190
1.简介 自建CA,利自建CA签发https证书。(不用购买证书、使用https传输、解决信任问题,可以在内网中使用) openssl可以做到,但是命令太繁琐,可以使用工具进行操作。 将证书封装exe文件,双击自动静默安装CA证书 2.创建CA 以管理员的身份运行程序 CA创建完成 3.创建web服务器证书 利用上一步的CA签发证书,以管理员的身份运行程序。 4.服务器配置 据导出来的证书,在web服务器上进行配置。例在Nginx上配置*.crt、*.key文件,crt为证书的一种格
https详解之 证书、服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 4093
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是证书。 操作系统预先安装的一些证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些证书的孙证书证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书证书证书链上的每个证书都是被它相邻的证书签发
CA证书——https安全保障的基石
CSDN_G_Y的博客
04-01 3112
CA证书https中最重要的,也是为何安全的最本的保证
OpenSSL生成CA证书.cer和.pfx-测试使用
goodlook0123的专栏
09-13 1601
第一步:生成采用des3算法保护的私钥:openssl genrsa -des3 -out private-rsa.key 1024 命令执行过程中的提示信息Enter pass phrase 的含义是输入用来保护私钥文件的密码(担心忘记设置123456,太短不行) 第二步:生成公钥证书:openssl req -new -x509 -key private-rsa.key -days 750 -out public-rsa.cer 该过程除了最开始时需要输入私钥文件的保护密码之外,...
ServiceAccount中的证书以及对证书的理解
叮当猫的喵i
04-29 964
参考 SSL/TLS及证书概述 https://segmentfault.com/a/1190000009002353 理解 程序支持TLS需要哪些文件 回到最开始的问题,cacert,cert,key对应于上面的哪些东西呢? cacert就是CA证书, cert就是程序自己的证书, key就是程序自己的私钥。 对于服务器来说,至少需要有自己的私钥和证书,而对于客户端来说,至少需要一个cacert,不然没法验证服务器的证书是否正确。 证书如何验证 下面以浏览器为例,说明证书的验证过程: 在
国密 ca 生成签发 - 应用数据国密加密/签名/解密
07-16
### 回答1: 国密CA生成签发涉及到应用数据国密加密、签名和解密。国密CA是国密算法的证书颁发机构,负责颁发和管理数字证书,确保数据的安全性和可信度。 首先,生成国密CA需要遵循相关的标准和规范。证书颁发机构需要进行身份验证,确保其具备发放数字证书的资质和能力。生成国密CA时还需要选择合适的国密算法,如SM2、SM3和SM4等,以保证数据的加密和签名安全。 生成国密CA后,可以开始应用数据的国密加密、签名和解密。在使用国密算法进行加密时,首先需要生成一对密钥,包括一个公钥和一个私钥。公钥用于加密数据,私钥用于解密数据。通过使用SM2算法对数据进行加密,可以保证数据的机密性和安全性。 对数据进行签名时,需要使用私钥对数据进行加密,并生成数字签名。通过使用SM2算法进行签名,可以确保签名的准确性和不可篡改性。签名后的数据可以与数字证书一起传播,用于证明数据的完整性和来源可靠性。 当接收方收到加密或签名数据后,使用相应的公钥进行解密或验证。使用SM2算法进行解密和验证,可以保证数据的解密正确性和签名的有效性。只有持有正确的私钥才能解密数据,只有正确的公钥能够验证签名。 总之,国密CA生成签发涉及到应用数据的加密、签名和解密。通过使用国密算法,可以保证数据的机密性、完整性和可信度。这些安全机制的应用使得数据传输和存储更加安全可靠。 ### 回答2: 国密CA(中国密码局认证中心)是由中国密码局授权的可信机构,负责国密算法下的数字证书生成签发。国密算法是中国自主研发的一种密码算法,用于保护数据的加密、签名和解密。 国密CA首先会生成一个证书,该证书包含了国密算法所需的公钥和私钥等信息。证书的私钥需要妥善保管,以确保证书的安全性。 在使用国密CA生成证书时,首先需要生成证书请求CSR(Certificate Signing Request)。CSR包含了证书的一些基本信息,比如需签发证书的名称、密钥等。CSR由应用程序生成后,发送给国密CA。 国密CA收到CSR后,会对其进行验证,并使用证书的私钥进行签名。签名后的证书会包含申请者的公钥以及其他相关信息,比如证书的有效期等。国密CA签发证书进行数字签名,以保证证书的真实性和完整性。 当应用程序需要进行数据的国密加密、签名或解密时,首先需要将数据进行相应的处理,然后使用证书中包含的公钥进行加密或签名操作。对于解密操作,则需要使用证书中对应的私钥进行解密。 国密CA生成签发过程保证了数字证书的可信和安全。应用程序可以通过使用国密算法下的证书实现数据的加密、签名和解密,确保数据的安全性和完整性。国密算法在国内得到了广泛的应用和认可,对于保护数据的安全非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值