Openssl自签名和认证技术

最新推荐文章于 2023-11-09 10:27:42 发布
最新推荐文章于 2023-11-09 10:27:42 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: HTTPS签名与认证 文章标签: openssl 加密 ca rsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douwanglong/article/details/24769513
版权

众所周知,HTTPS通道相对于HTTP通道是比较安全的,HTTPS使用的是RSA非对称128位加密,如果是安全交易类甚至会使用RSA 1024位加密算法,想要突破基于HTTPS协议的网站,你就首先必须突破这个HTTTPS协议,因此,对于高安全交易类的应用等常采用它。

HTTPS是SSL的一种,那么它是如何进行加密传输数据的呢,就是建立一个“信任关系”,先建立起信任关系,然后再开始数据传输,在加密的世界中“建立信任”就需要用到至少2张证书,即ROOTCA, SERVER CA,把这个信任建立的过程称为“Hands Shakes”,握手协议

既然构建HTTPS通道,必须要有ROOTCA和SERVERCA,而且这张服务器证书是需要由客户端信任的“ROOT”级机构所签发出来的。ROOTCA是全球的根,这个“树”的根是全球任何IE、FireFox、Safari里的证书库里都有这个RootCA的,因为它们是权威,所以全球的电子证书拿它们做“根”.

在实际开发环境中,我们使用Openssl自己来模拟这个ROOTCA,然后用自己模拟出来的ROOTCA去签我们服务器的证书,这个过程就被称为“自签”。一般生成证书由以下几个步骤构成:

A、自签ROOTCA的过程:

1.       生成密钥

a、生成密钥:openssl genrsa -des3 -out  ca.key 1024


b、去除ca口令密码:openssl  rsa -in ca.key -out ca.key

2.       用密钥产生请求,同时进行“自签”Sign

openssl req -new -x509 -key ca.key -out ca.crt  

3导入CA到internet浏览器中


B、生成SERVERCA并用ROOTCA签名的过程

1.       生成一对不对称密钥,即公钥public key和私钥 private key

a、生成密钥:openssl genrsa -des3 -out  server.key 1024

b、去除口令密码:openssl  rsa -in server.key -out server.key

2.       用密钥产生请求,同时把我的请求交给ROOT机构

openssl req -new -key server.key -out server.csr 

3.       ROOT机构对我提交的请求进行“签名”Sign

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

生成证书后,就可以将证书部署到web服务器,比如Apache服务器,通过https协议访问相应的应用了。

------------------------------------------------------------------------------------------------------------------------------------------------------------

当Apache HttpServer已经走https协议了,如果你也用到了App Server即tomcat/weblogic/was,因为我们的架构是Web Server + App Server,因此,我们的App Server也必须走https协议。如果只是Web Server走https协议,而App Server没有走https协议,这就叫“假https架构”,是一种极其偷赖和不负责任的做法。概念同产生Apache的HttpServer的证书一样,只是这边的信任域有点不一样。Web的信任域就是你的IE里的内容里的证书里的“根级信任域”,App Server的信任域是打不开也不能访问这块地方的,而且App Server的信任域格式也不是crt文件,而是.jks(javakey store的简称)。

现在使用%JAVA_HOME%\bin目录下的keytool工具来产生证书
1、 生成JKS密钥对,密码使用6个a,alias代表“别名”,CN代表Common Name,必须与主机名完全一致,错了不要怪我自己负责。
keytool -genkey -alias jubaoX509 -keyalg RSA -keysize 1024 -dname "CN=jubao001 , OU=insurance-dart, O=Cognizant, L=SH, S=SH, C=CN" -keypass aaaaaa -keystore jubao.jks -storepass aaaaaa
2、  生成JSK的CSR
keytool -certreq -alias jubaoX509 -sigalg "MD5withRSA" -file jubao.csr -keypass aaaaaa -keystore jubao.jks -storepass aaaaaa
3、使用openssl结合ca.crt与ca.key为jsk的csr来签名认证并产生jks格式的crt
openssl x509 -req -in jubao.csr -out jubao.crt -CA ca.crt  -CAkey ca.key -days 3650 -CAcreateserial -sha1 -trustout -CA ca.crt -CAkey ca.key -days  3650 -CAserial ca.srl -sha1 -trustout

4、生成符合x509格式的jks文件
a      将Root CA导入jks信任域
keytool -import -alias rootca -trustcacerts -file ca.crt -keystore jubao.jks -storepass aaaaaa

b     补链:keytool -import -alias  shnlap93X509 -file shnlap93.crt -keystore jubao.jks -storepass aaaaaa

生成jubao.jks,那么在tomcat的https协议通道配置中加入secure="true" SSLEnabled="true"  clientAuth="false" sslProtocol="TLS"  keystoreFile="d:/tomcat/conf/jubao.jks" keystorePass="aaaaaa"。。就可以使用安全的https协议了

测试:如果你是在Apache上启用了https而没有在tomcat上启用https协议,那么我们在tomcat中布署一个servlet,含一条打印语句: System.out.println(“”+request.getScheme()),那么它将打印出来http。反之则是https。


ps:pem格式自签

一、根证书

Openssl genrsa -out ca/cakey.pem 512

Openssl req -new -out ca/careq.csr -key ca/cakey.pem

Openssl x509 -req -in ca/careq.csr -out /ca/cacert.pem -signkey ca/cakey.pem -days 3650

Keytool -import -v -trustcacerts -storepass 111111 -alias caRoot -file ca/cacert.pem -keystore  d:\re

二.服务器证书

Keytool -genkey -alias caServer -validity 3650 -keyalg RSA -keysize 512 -keystore server/server.jks

Keytool -certreq -alias caServer -file server/server.csr -keypass 111111 -keystore server/server.jks -storepass 111111

Openssl x509 -req -in server/server.csr -out server/servercert.pem -CA ca/cacert.pem -Cakey ca/cakey.pem -days 3650

Keytool -import -v -trustcacerts -storepass 111111 -alias caRoot-file ca/cacert.pem -keystore  server/server.jks

Keytool -import -v -alias cas_server -file server/sercercert.pem -storepass 111111  -keystore  server/server.jks

KintonDo
关注
专栏目录
OpenSSL之自签名证书认证
一二③木头人
08-17 2353
前言 由于信息在传输的过程中都采用明文 , 故是很不安全的做法 , 所以需要对数据进行加密 , 将明文数据转换为密文数据传输 . 因此采用OpenSSL生成自签名证书在服务端和移动端使用 , 但是查找了网上的很多的博客, 发现很多都介绍的不够详细 , 因此耗费了很多的时间 , 顾将自己的总结, 提供给大家 , 以便参考. OpenSSL认识 openssl 是一个开放源代码的实现了SSL及相...
SSL基础:6:使用openssl进行签名和验证
知行合一 止于至善
12-10 8456
这篇文章将通过一个具体的例子来说明使用OpenSSL数字签名与验证的过程。
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
使用 Openssl 验证自签名证书
kmyhy的专栏
06-15 1万+
 iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能,使用它能做到的,比你想象的要少。笔者一直想找一个iOS 下比较好的功能全面的安全算法库,结果却一无所获。不知道谁能介绍下这方面。最终还是只有求助于闻名已久的 Openssl library。Openssl 确实十分强大,然而其糟糕文档仍让人难以满意。当然,网络上使用Opens
openssl生成签名与验证签名
02-18 974
  继上一篇RSA对传输信息进行加密解密,再写个生成签名和验证签名。   一般,安全考虑,比如接入支付平台时,请求方和接收方要互相验证是否是你,就用签名来看。   签名方式一般两种,对称加密和非对称加密。对称加密就是双方互相有一个相同的key。非对称比如就是公钥和私钥。   利用非对称openssl,下面是生成签名和验证签名的php示例。    <?php $a...
使用 OpenSSL 创建ssl自签名证书
weixin_50218044的博客
03-30 8802
最近工作中需要创建私有化的ssl签名证书,以前使用的都是申请的免费的,没有了解过这方面的信息,经过查阅各种资料,加上数次测试,终于搞定了,一起来看看吧 什么是签名证书 自签名证书是未经公共或私有证书颁发机构签名的 SSL/TSL 证书。相反,它由创建者自己的个人或根 CA 证书签名。 这里借用一下大哥uncle的巨作,一篇文章了解数字证书 为了一个HTTPS,浏览器操碎了心 申请付费ssl证书流程 使用私钥创建证书签名请求 (CSR) 。CSR 包含有关位置、组织和 FQDN(完全限..
OpenSSL做自签名的证书(by quqi99)
技术并艺术着
08-19 3433
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
CA.rar_RSA签名验证_lilin8dsw_openssl rsa 签名_openssl签名_rsa openssl
09-22
在IT行业中,加密和安全是至关重要的领域,RSA算法作为非对称加密技术的代表,被广泛应用在数据传输、身份认证以及签名验证等方面。本文将深入探讨“CA.rar”文件中涉及的RSA签名验证,结合openssl工具进行详细解析...
基于 OpenSSL 生成自签名证书
热门推荐
qhh0205
05-18 1万+
基于 OpenSSL 生成自签名证书 PKI、CA、SSL、TLS、OpenSSL几个概念 PKI 和 CA PKI 就是 Public Key Infrastructure 的缩写,翻译过来就是公开密钥基础设施。它是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施。 PKI 是目前唯一的能够基本全面解决安全问题的可能的方案。 PKI 通过电子证书以及管理这些电子证书的一整套设...
C++使用Openssl进行RSA加密解密及签名验签功能(SHA256)
09-19
RSA是一种广泛使用的公钥加密算法,它结合了非对称加密和数字签名技术,确保数据的机密性和完整性。本文将深入探讨如何使用OpenSSL库在C++中实现RSA加密、解密以及签名和验签功能,特别关注SHA256WithRSA这一安全...
使用openssl创建自签名证书
天气怎么样的博客
11-25 510
使用openssl创建自签名证书1.创建根CA(完成一次)1.1创建根密钥1.2创建并自签名根证书2.创建证书(为每个服务器完成)2.1创建证书密钥2.2创建签名(csr)2.3使用签名xxx.com.csr和证书密钥xxx.com.key以及CA密钥rootCA.key和CA签名rootCA.crt生成证书参考 1.创建根CA(完成一次) 1.1创建根密钥 注意:这是用于签署证书请求的密钥,持有此证书的任何人都可以代表您签署证书。因此,请将其保存在安全的地方! openssl genrsa -des3 -
使用OpenSSL创建自签名SSL证书
lordwish的专栏
08-21 4428
近期的工作中遇到了数据传输加密的需求,就是在数据传输安全层面都要求使用https协议,因此为Web站点安装SSL证书就成了必须,以下就过程记录。 1.需求及选型 需求有两条: ** 1.支持内网IP地址 ** 我们很多项目都是在内部局域网运行,没有公网IP,更没有域名,因此必须能支持内网IP地址。 ** 2.免费 ** 相当一部分SSL证书需要付费购买,虽然一般不是很贵,成本也需要稍稍考虑一下。免费的SSL证书也有不少地方可以申请,但是能支持内网IP地址的好像没有。 基于这两条考虑,考虑使用开源组件Ope
openssl生成自签名证书流程
zhiboqingyun的博客
02-21 1600
1 数字证书概念 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 4096
Nginx
通过openSSL生成自签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
openssl证书请求和自签名
侯海云
09-10 4006
目录目录 概念 PKICAX509 证书获取 获取证书两种方法 安全协议 SSL和TLS协议 OpenSSL OpenSSL开源项目 OpenSSL命令 对称加密enc 单向加密dgst 生成用户密码和随机数 生成密码对儿man genresa 随机数生成器伪随机数字 建立私有CA创建所需要的文件 CA自签证书 生成自签名证书 生成证书的各字段详解 证书申请过程 证书申请及签署步骤 创建CA和申请证
OpenSSL生成自签名证书
最新发布
weixin_52582672的博客
11-09 1428
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名其证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成和签名的证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
openssl签名证书学习笔记
yjkhtddx的专栏
07-05 2883
CA证书颁发机构(Certificate Authority)是一个受信任的实体,负责颁发数字证书并对其进行签名CA证书颁发机构在公共密钥基础设施(PKI)中发挥关键作用,用于验证和认证实体的身份,确保通信的机密性和完整性。CA证书颁发机构的主要职责包括:身份验证:CA验证证书请求者的身份信息,确保其合法性和真实性。这通常涉及验证请求者的身份证明文件、组织信息、域名所有权等。生成数字证书:在验证身份后,CA使用其私钥对证书请求者的公钥进行签名,生成数字证书。
OpenSSL实现数字签名与验签代码示例解析
数字签名是信息安全领域中一种重要的认证技术,它能够确保消息的完整性、认证和不可否认性。以下将详细介绍数字签名和验签的实现,以及相关的OpenSSL代码示例。 一、数字签名与验签的基本原理 数字签名是使用公钥...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值