CA认证完整实现步骤

最新推荐文章于 2024-09-02 10:02:49 发布
最新推荐文章于 2024-09-02 10:02:49 发布
阅读量6.4k 收藏 15
点赞数 3
分类专栏: CA 文章标签: CA认证完整实现步骤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feng2147685/article/details/104266607
版权

(本文参考https://blog.csdn.net/tuzongxun/article/details/88647172)

1、什么是系统安全管理

置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面:
一是应用内的权限控制,比如具体应用的用户名、密码等;
二是应用数据传输过程中的安全机制,例如各种报文的加解密方案;
三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。

2、什么是PKI
PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。
公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。通过证书和秘钥来确认通讯双方是否可信任。

3、什么是CA
CA是Certificate Authority的简称,即证书的签发机构,它是PKI的核心。
正常情况来说,CA是具有权威性的机构,通过CA获取证书需要给钱。
但是有的时候可能不想用CA机构的证书,又想要使用https站点,那么可能就需要自己生成证书,但是这种证书浏览器是认为不安全的,本文档后边的具体步骤即针对这种场景。

4、什么是https
https是http+ssl,通俗点说,就是采用http通讯的安全传输协议,用来保证http传输过程中数据的机密性、完整性和可靠性,ssl需要证书。

5、单向认证
网络通讯是双向的,但是安全认证不一定都是双向。大多数情况下可能都是单向的,只需要客户端确认服务端是可靠的,而服务端不管客户端是否可靠。即客户端,比如浏览器会验证服务端证书,服务端不需要客户端证书。

6、双向认证
双向认证相对于单向认证,即客户端需要确认服务端是否可信,服务端也需要确认客户端是否可信。双方都要验证对方的证书。

二、实现步骤
1、本地环境
本次技术调研过程全程都在自己的电脑上,采用物理机加虚拟机的方式:
物理机:win10+ie+Chrome
虚拟机:centeros6.8+nginx+tomcat+openssl

2、nginx安装
2.1、安装包准备
nginx安装需要依赖其他的一些组件,网上说有以下三个必要依赖:

openssl
pcre
zlib

但实际安装过程发现只有openssl是必要的,其他两个可以排除,因此实际安装时下载了两个安装包:

nginx-1.12.2.tar.gz
openssl-1.0.0a.tar.gz

2.2、安装openssl
2.2.1、解压

tar -zxvf openssl-1.0.0a.tar.g
最低0.47元/天 解锁文章
皮卡丘踢球
关注
专栏目录
CA双向认证完整实现步骤(附java客户端代码)
程序员涂小哥的技术博客
03-18 2万+
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是P......
java 使用CA认证
热门推荐
借物小人的博客
05-11 1万+
本文转自: 数字证书简介及Java编码实现 CA认证原理以及实现 java CA证书制作和代码中使用 名词大意 秘钥库:存储了公钥和私钥信息,一个秘钥库可以存储多对的密钥对(密钥对可以理解为就是数字证书),通过alias别名来取出需要的密钥对,存放于服务器,xxx.keystore文件 数字证书:只能存储公钥,可以从xxxx.keystore中导出某个密钥对的公钥证书,存放于客户端,xxx.ce...
基于JAVA的CA认证中心实现
09-20
介绍了用Java和0penSsL构建一个小型cA系统的方法。
CA证书说明与使用
最新发布
qq_54089476的博客
09-02 2180
对于私钥/公钥的文件后缀有时候用 key/crt,有时候用 pem,其实这不重要,重要的是文件中的内容格式。主要功能为:证书发放、证书更新、证书撤销和证书验证。生成CA证书之后可以直接部署在服务器上,也可以通过下面的步骤,用CA证书签署服务器公钥生成服务器证书,然后部署到服务器上。2、CA机构对请求文件进行身份确认,邮箱、第三方数据库、当面认证和身份确认等,根据身份认证等级来划分不同的认证方式。通过openssl生成证书,需要生成CA密钥对和CA证书,而第三方CA机构颁发只需要提供一个请求文件即可。
手动实现CA数字认证(java)
qq_51715571的博客
12-05 3600
数字签名、CA认证、加密算法
CA双向认证
weixin_40292830的博客
07-15 2947
一、双向认证 CA认证有单向认证和双向认证,在我们日常网页浏览中,我们接触到的大多数是单向认证,而在一些银行系统等对安全性要求比较高的系统,会采用双向认证。 单向认证只是客户端(浏览器)认证服务端(例如tomcat等), 双向认证指的是服务端和客户端之间相互都要认证(在浏览器体现为需要安装进证书)。 https的双向认证大概过程(摘自http://blog.chinaunix.net/uid...
(转载)记录一次使用CA证书搭建双向认证过程
zhuhai__yizhi的专栏
09-07 602
(转载)https://www.jianshu.com/p/0a983fa56555 一、前置条件 拥有域名且备案的服务器一台(域名并不是绝对条件,根据购买CA的证书类型决定;备案是因为CA认证域名所有者的方式中,如果采用文件认证的方式,需要服务器开通80端口,CA会访问域名:80 下的文件来验证域名所有者身份;当然,如果你在HK那就无需备案) 受信CA的证书(受信的意思是CA机...
基于Java和Python实现简单的CA认证系统
毕业作品网站
01-26 4472
对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书,证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名.另外除了证书本身功能,Ⅹ509 还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。CSR 里还可能带有 CA 要求的其它有关身份证明的信息。颁发者(Issuer):发证书单位的标识信息,如 ” C=CN,ST=Beijing, L=Beijing, O=org.example.com,CN=ca.org。
IIS使用eToken实现网站CA认证登录
05-28
通过上述步骤,可以在IIS上成功实现基于eToken的CA认证登录。这种方式不仅增强了网站的安全性,还提高了用户体验。对于需要高度保护敏感信息的企业来说,这是一种非常有效的安全措施。同时,由于整个过程涉及多个...
Avick_389.rar_CA认证_Windows_Unix_
08-11
【标题】"Avick_389.rar_CA认证_Windows_Unix_" 提示我们这是一个与安全认证、操作系统相关的主题,具体来说是关于CA(Certification Authority)证书在Windows和Unix系统上的应用CA证书是网络安全中的重要组成...
ssl.rar_CA认证_C/C++_
08-12
3. 加载服务器的证书和私钥,确保CA认证可以通过。 4. 监听特定端口,等待客户端连接。 5. 接受新的连接,创建一个新的SSL对象关联该连接。 6. 完成SSL握手,处理客户端的证书验证请求。 7. 与客户端交换加密的数据...
基于Java和Python实现简单的CA认证系统.zip
06-13
资源包含文件:设计报告word+源码及数据库sql文件 这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码签名的两类证书。 证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution Point(CRL 分发点:本系统分发点为:CRL Distribution Point)获取最新的 CRL 列表。 证书审核:用户的证书请求需要由管理员审核后才能颁发,因此我们写了一个简单的管理员审核功能。 详细介绍参考:https://biyezuopin.blog.csdn.net/article/details/122684531?spm=1001.2014.3001.5502
Openssl实现双向认证教程(附服务端客户端代码)
01-09
一、背景说明 1.1 面临问题 最近一份产品检测报告建议使用基于pki的认证方式,由于产品已实现https,商量之下认为其意思是使用双向认证以处理中间人形式攻击。 《信息安全工程》中接触过双向认证,但有两个问题。 第一个是当时最终的课程设计客户端是浏览器,服务端是tomcat双向认证只需要对两者进行配置并不需要自己真的实现代码。 第二个是虽然课程也有接近双向认证实现代码,但当时是Java+JCE环境现在要用C+++OpenSSL环境,总体意思确实还是差不多但具体函数和参数差别还是不少。 所以眼下有的是:证书生成的思想+双向认证实现的思想。对读者而言,即要假定已对证书、SSL/TSL、sock
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
java ca认证_java编程方式生成CA证书
weixin_35811254的博客
02-12 1299
下面是java编程方式生成CA证书的代码,使用的是BC的provider。生成CA证书与生成普通证书的区别是:1,生成CA证书时,issuer和subject一致;2,在ContentSigner.build()的时候(签名的时候)使用的是与待签名公钥相应的私钥。下面代码,CA生成以后把私钥和证书一起以一个key entry的方式存入一个jks文件。static {Security.addProv...
[置顶] java编程方式用CA给证书进行签名/签发证书
子非鱼-的专栏
07-01 1178
这些代码首先加载CA证书,然后分别用CA给Alice和Bob签发一个证书并保存到resource/目录下面,用jks格式存储。 CA证书也是用java编程方式制作的,制作过程请看我的上一篇博客。   public static void main(String[] args) throws KeyStoreException, NoSuchAlgorithmException, Ce
Java访问Nginx双向认证
weixin_44480960的博客
01-26 1731
Nginx双向认证配置及测试 一、前言 在我的前面两篇博客中我已经介绍了什么是Nginx的双向认证,以及如何使用keytool实现tomcat的双向认证,概念阐述以及废话比较多哈哈,今天主要是将Nginx的双向认证如何配置并且使用Java程序去访问Nginx。看过我前面两篇博客的小伙伴应该都知道,Nginx的双向认证我们使用的是Openssl工具来生成CA证书、Server的证书、Client的证书,而Tomcat双向认证使用的是Jdk自带的Keytool工具来生成Server证书和Client证书。所以在
JAVA对数字证书的常用操作
我的2007
01-15 809
  一需要包含的包import java.security.*;import java.io.*;import java.util.*;import java.security.*;import java.security.cert.*;import sun.security.x509.*import java.security.cert.Certificate;import java
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4897
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

皮卡丘踢球

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值