数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
当前我们的信息系统中通过加密来安全的传输信息, 其中使用比较广泛的是SSL( SSL 是 TLS 的前身,现在已不再更新)和TLS。这两种方式都采用了非对称加密技术,所谓非对称加密技术是利用一对密钥(公钥和私钥),这对密钥的特点是通过公钥加密的数据只能用私钥进行解密,而相反的通过私钥加密的数据则只能通过公钥来解密。
根据证书发行者的身份不同,证书分为两类,一类是通过权威机构(CA)认证的证书;而另一类则是网站自己发行的证书,即自签名证书(self-signed certificate)。 通过权威机构认证的证书都是安全可靠的,用户可以放心的浏览以及交换数据, 而对于另外一种非权威机构发行的证书,用户则需要特别留意除非你非常清楚你访问的网站是安全的。
获取CA认证的证书流程非常简单:
步骤1:首先需要生成一对密钥
步骤2:然后新建一个证书签名请求,该请求中包含了网站的服务器信息以及运行该网站的公司信息;
步骤3:接下来把之前签名请求以及表明身份的文档一并发送给CA,同时包括一定的费用
步骤4:如果CA确认你的身份真实可靠,就会发送数字证书给你
步骤5:最后就是安装证书到网站上以及其它将会使用该证书的应用中
在生产环境中我们需要使用权威机构颁发的证书,而在开发环境或者学习环境中我们只需要自己签名的证书就足够了,接下来我们就重点讲如何在 Ubuntu 16.04 生成我们自己签名的证书。
我们可以使用Ubuntu下自带的openssl工具来生成我们想要的证书。
首先先生成一对密钥:
root@mydocker:~# mkdir mykeys_by_openssl
root@mydocker:~# cd mykeys_by_openssl/
root@mydocker:~/mykeys_by_openssl# openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.......................+++
...........................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: #设置私钥加密字符串
Verifying - Enter pass phrase for server.key:
root@mydocker:~/mykeys_by_openssl# ls
server.key
私钥必须妥善保管,既不能丢失,也不能泄露。如果发生丢失和泄露,必须马上重新生成,以使旧的证书失效。
利用私钥就可以生成证书了。OpenSSL使用x509命令生成证书。这里需要区分两个概念:证书(certificate)和证书请求(certificate sign request)
证书是自签名或CA签名过的凭据,用来进行身份认证
证书请求是对签名的请求,需要使用私钥进行签名
x509命令可以将证书和证书请求相互转换,不过我们这里只用到从证书请求到证书的过程。从私钥或已加密的私钥均可以生成证书请求。生成证书请求的方法为:
root@mydocker:~/mykeys_by_openssl# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key: #输入私钥加密字符串
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:JiangSu
Locality Name (eg, city) []:Nanjing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Dream
Organizational Unit Name (eg, section) []:NN
Common Name (e.g. server FQDN or YOUR name) []:mydocker
Email Address []:jiangshouzhuang@163.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:zhangyun
An optional company name []:Dream
root@mydocker:~/mykeys_by_openssl# ls
server.csr server.key
如果私钥已加密,需要输入密码。req命令会通过命令行要求用户输入国家、地区、组织等信息,这些信息会附加在证书中展示给连接方。
接下来用私钥对证书请求进行签名。根据不同的场景,签名的方式也略有不同,这里我们只介绍一种方法,如下:
1. 自签名,生成私有证书
自签名的原理是用私钥对该私钥生成的证书请求进行签名,生成证书文件。该证书的签发者就是自己,所以验证方必须有该证书的私钥才能对签发信息进行验证,所以要么验证方信任一切证书,面临冒名顶替的风险,要么被验证方的私钥(或加密过的私钥)需要发送到验证方手中,面临私钥泄露的风险。
当然自签名也不是一无用处,比如需要内部通讯的两台电脑需要使用加密又不想用第三方证书,可以在两端使用相同的私钥和证书进行验证(当然这样就跟对称加密没有区别了)
root@mydocker:~/mykeys_by_openssl# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=JiangSu/L=Nanjing/O=Dream/OU=NN/CN=mydocker/emailAddress=jiangshouzhuang@163.com
Getting Private key
Enter pass phrase for server.key:
root@mydocker:~/mykeys_by_openssl# ls
server.crt server.csr server.key
同样如果ssl.key已加密,需要输入密码。
可以看到已经生成server.crt 证书了,并且证书的有效期为360天。
注:也可以使用如下命令:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj /CN=mydocker -keyout server.key -out server.crt
对于 server.crt 和 server.key 文件需要保存起来,后续对于SSL/TLS的服务器或程序都可以使用。
当前我们的信息系统中通过加密来安全的传输信息, 其中使用比较广泛的是SSL( SSL 是 TLS 的前身,现在已不再更新)和TLS。这两种方式都采用了非对称加密技术,所谓非对称加密技术是利用一对密钥(公钥和私钥),这对密钥的特点是通过公钥加密的数据只能用私钥进行解密,而相反的通过私钥加密的数据则只能通过公钥来解密。
根据证书发行者的身份不同,证书分为两类,一类是通过权威机构(CA)认证的证书;而另一类则是网站自己发行的证书,即自签名证书(self-signed certificate)。 通过权威机构认证的证书都是安全可靠的,用户可以放心的浏览以及交换数据, 而对于另外一种非权威机构发行的证书,用户则需要特别留意除非你非常清楚你访问的网站是安全的。
获取CA认证的证书流程非常简单:
步骤1:首先需要生成一对密钥
步骤2:然后新建一个证书签名请求,该请求中包含了网站的服务器信息以及运行该网站的公司信息;
步骤3:接下来把之前签名请求以及表明身份的文档一并发送给CA,同时包括一定的费用
步骤4:如果CA确认你的身份真实可靠,就会发送数字证书给你
步骤5:最后就是安装证书到网站上以及其它将会使用该证书的应用中
在生产环境中我们需要使用权威机构颁发的证书,而在开发环境或者学习环境中我们只需要自己签名的证书就足够了,接下来我们就重点讲如何在 Ubuntu 16.04 生成我们自己签名的证书。
我们可以使用Ubuntu下自带的openssl工具来生成我们想要的证书。
首先先生成一对密钥:
root@mydocker:~# mkdir mykeys_by_openssl
root@mydocker:~# cd mykeys_by_openssl/
root@mydocker:~/mykeys_by_openssl# openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.......................+++
...........................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: #设置私钥加密字符串
Verifying - Enter pass phrase for server.key:
root@mydocker:~/mykeys_by_openssl# ls
server.key
私钥必须妥善保管,既不能丢失,也不能泄露。如果发生丢失和泄露,必须马上重新生成,以使旧的证书失效。
利用私钥就可以生成证书了。OpenSSL使用x509命令生成证书。这里需要区分两个概念:证书(certificate)和证书请求(certificate sign request)
证书是自签名或CA签名过的凭据,用来进行身份认证
证书请求是对签名的请求,需要使用私钥进行签名
x509命令可以将证书和证书请求相互转换,不过我们这里只用到从证书请求到证书的过程。从私钥或已加密的私钥均可以生成证书请求。生成证书请求的方法为:
root@mydocker:~/mykeys_by_openssl# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key: #输入私钥加密字符串
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:JiangSu
Locality Name (eg, city) []:Nanjing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Dream
Organizational Unit Name (eg, section) []:NN
Common Name (e.g. server FQDN or YOUR name) []:mydocker
Email Address []:jiangshouzhuang@163.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:zhangyun
An optional company name []:Dream
root@mydocker:~/mykeys_by_openssl# ls
server.csr server.key
如果私钥已加密,需要输入密码。req命令会通过命令行要求用户输入国家、地区、组织等信息,这些信息会附加在证书中展示给连接方。
接下来用私钥对证书请求进行签名。根据不同的场景,签名的方式也略有不同,这里我们只介绍一种方法,如下:
1. 自签名,生成私有证书
自签名的原理是用私钥对该私钥生成的证书请求进行签名,生成证书文件。该证书的签发者就是自己,所以验证方必须有该证书的私钥才能对签发信息进行验证,所以要么验证方信任一切证书,面临冒名顶替的风险,要么被验证方的私钥(或加密过的私钥)需要发送到验证方手中,面临私钥泄露的风险。
当然自签名也不是一无用处,比如需要内部通讯的两台电脑需要使用加密又不想用第三方证书,可以在两端使用相同的私钥和证书进行验证(当然这样就跟对称加密没有区别了)
root@mydocker:~/mykeys_by_openssl# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=CN/ST=JiangSu/L=Nanjing/O=Dream/OU=NN/CN=mydocker/emailAddress=jiangshouzhuang@163.com
Getting Private key
Enter pass phrase for server.key:
root@mydocker:~/mykeys_by_openssl# ls
server.crt server.csr server.key
同样如果ssl.key已加密,需要输入密码。
可以看到已经生成server.crt 证书了,并且证书的有效期为360天。
注:也可以使用如下命令:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj /CN=mydocker -keyout server.key -out server.crt
对于 server.crt 和 server.key 文件需要保存起来,后续对于SSL/TLS的服务器或程序都可以使用。
扫一扫
857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
