实施经验-https证书理解

最新推荐文章于 2023-01-31 08:23:00 发布
最新推荐文章于 2023-01-31 08:23:00 发布
阅读量351 收藏
点赞数 1
分类专栏: 架构 实施 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lichangzhen2008/article/details/119025755
版权

文章目录

先从一个需求案例说起

给甲方的web服务需要使用https,是部署在内网的,连域名也没有用ip访问,大家又不想花钱,于是自己生成一个https证书,参考【HTTPS】自签CA证书 && nginx配置https服务
数字证书系列–将证书绑定到多个URL以及IP,过程如下:

1、创建自签CA证书(根证书)

openssl genrsa -out CA_Key.key  2048  # 创建CA证书的私钥,用rsa加密,2048bit
openssl req -new -x509 -key CA_Key.key  -out CA_Cert.crt  # 利用CA_Key.key 创建CA证书. 生成的证书为CA_Cert.crt

2、制作生成网站的证书并用CA签名认证

openssl genrsa -out server.key  2048  # 服务端 创建网站私钥
openssl req -new -key server.key -out server.csr   # 服务端 创建证书签名申请,是申请文件不是证书
openssl x509 -req -in server.csr -CA CA_Cert.crt -CAkey CA_Key.key -CAcreateserial  -out server.crt #CA机构 创建crt(服务端公钥+申请者与颁发者信息+(用颁发者私钥进行的)签名)

流程梳理

上述案例对应的操作步骤,梳理后的流程如下图中“图A”所示,
image

其中对server端的两步操作也可以合并为一个命令,如上图中的“图B”所示,命令如下:

openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr

也可以对整个流程合并为一个命令,如上图中的“图C”所示,命令如下:

openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem

在https协议中是如何使用证书的

https建立连接到会话交互的过程如下所示
image

浏览器验证证书有效性,使用到了浏览器内置的CA证书,跟浏览器开发商有关,如下图所示:

image

概念梳理

SSL协议类

  • SSL - Secure Sockets Layer(安全套接字层),现在应该叫"TLS(传输层安全协议 Transport Layer Security)",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.More:[维基百科]

  • OpenSSL - 简单地说,OpenSSL是SSL的一个实现,SSL只是一种规范.理论上来说,SSL这种规范是安全的,目前的技术水平很难破解,但SSL的实现就可能有些漏洞,如著名的"心脏出血".OpenSSL还提供了一大堆强大的工具软件,强大到90%我们都用不到.

证书标准和格式

  • X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.X.509证书,可能有不同的编码格式,有PEM和DER

    • PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END…"结尾,内容是BASE64编码.查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout
    • DER Distinguished Encoding Rules,打开看是二进制格式,不可读

相关的文件扩展名

这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

  • CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统
  • CER - 还是certificate,还是证书,常见于Windows系统
  • KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.查看KEY的办法:openssl rsa -in mykey.key -text -noout
  • CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.查看的办法:openssl req -noout -text -in my.csr
  • PFX/P12 - predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中
  • JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

其它常见名称

  • 证书也叫“digital certificate”或“public key certificate”,好比公章
  • CA是Certificate Authority的缩写,也叫“证书授权中心”,它是负责管理和签发证书的第三方机构,CA必须是所有行业和所有公众都信任的、认可的。
  • CA证书,顾名思义,就是CA颁发的证书,证书=公钥+申请者与颁发者信息+签名;
  • 浏览器中内置CA对应的证书称为根证书,颁发者和使用者相同,自己为自己签名,即自签名证书

openssl参数说明

openssl的参数有很多,我们只把用到的参数做下说明

  • req
    • newkey
    • new
    • nodes
    • keyout key的输出文件
    • out 输出文件
    • days 授权有效期

参考:

钢铁峡
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
blockchain_based_certificates:使用基于以太坊的区块链基础设施发行和验证数字证书
05-16
实施参考思路: 项目目标: 通过以上链接,我们遇到了基于区块链的数字证书的发行和验证的想法。本项目的目的是通过实现上述想法来进行以太坊区块链的开发。此实现的目的: 我们正在将这种实现方式用于我们的研究生...
SSL通信证书详解
sinat_33822516的博客
04-11 2946
Https通信中,客户端需要验证服务器提供的数字证书。数字证书中包含了公钥以及其他一些信息。那么数字证书中的参数是什么意思呢? 这里列举一个证书(自签名证书) 生成证书的方式:https://blog.csdn.net/sinat_33822516/article/details/81057646 1.版本 这个很好理解,就是证书的版...
证书信任链
走马川行雪的博客
05-16 1571
以下说明以税务测试证书为准: ‘税务总根证书’为最根本的证书,它可以给自己颁发证书,那么证书颁发者和证书使用者都为总根证书。那么证书颁发者和颁发给都为总根证书,授权密钥标识符和使用者密钥标识符相同: ‘税务总根证书’可以颁发证书给下一级称为‘税务一级根证书’,则它的颁发者为总根证书使用者为一级根证书;则颁发者的使用者密钥标识符与使用者的授权密钥标识符相同: 证书信任链:税务总...
https 证书使用
小知识折射大智慧
01-31 1152
go 使用 https 协议,构建支持 https 协议的 go demo 服务,打印查看必要的连接信息
IIS 绑定多个证书错误解决方法
y_h_t的专栏
03-22 1520
IIS绑定多个证书,提示:至少一个其他网站正在使用同一个HTTPS绑定,而此绑定用另一个证书配置。确实要用此HTTPS绑定并将其他网站重新指定为新证书吗? 解决: 勾选“需要服务器名称指示” ...
谈谈https证书
leapmotion的博客
10-30 7196
1. 前言 本篇文章我们讲解下关于https证书的相关知识,因为我发现不理解证书感觉很难理解https,所以本篇会花大量的篇幅来讲证书,我们一开始会讲解一些相关概念帮助大家理解下,然后我们自己签发一个证书理解这个过程,最后通过实例和抓包帮助大家理解https。因为本篇文章有很多代码及配置文件相关,最好通过电脑打开查看,篇幅很长,感谢耐心。 2. 概念区分 见到https时就会有很多不知道的概念,我们这里来区分下: HTTPShttps即为http及其下边一层的可靠的安全加密的传输协议(tls/ssl)
ScrumMaster中文认证6月10-11日北京课程
05-12
这是一个两天Scrum Master 认证课程,认证证书由美国Scrum 官方机构Scrum 联盟 (ScrumAlliance.org)颁发。课程将帮助学员深入、全面的理解敏捷及Scrum,通过大量项目 论证过的Scrum 实践,从实际操作的层面帮助...
SQL Server2008 R2 数据库镜像实施手册
09-17
SQL Server2008 R2 数据库镜像实施手册(双机)SQL Server2014同样适用 一、配置主备机 1、 服务器基本信息 主机名称为:HOST_A,IP地址为:192.168.1.155 备机名称为:HOST_B,IP地址为:192.168.1.156 二、主备实例...
电脑服务器采购项目-投标书.doc
06-09
2、如果我们的报价文件被接受,我们将履行竞争性谈判采购文件中规定的每一 项要求,并按我们报价文件中的承诺按期、按质完成项目的实施。 3、我们理解,最低报价不是成交的唯一条件,你们有选择成交供应商的权力。 ...
计算机平面设计专业专业建设与方案-初稿.doc
05-27
5、职业范围 "序号 "对应职业(岗位) "职业资格证书 "专业(技能)方向 " "1 "装潢美术设计人员 "装潢设计员 "工程效果设计 " "2 "广告设计人员 "广告设计员 "平面广告设计与制作 " " " " "数字成像及后期处理技术...
Https-证书应用
05-03 1577
一、应用(微服务)级别解决方案 1、jdk生成证书 使用jdk自带的keytools生成keystore -- 打开cmd命令窗口,切换路径到jdk/bin下面 C:\Program Files\Java\jdk1.8.0_60\bin>.\keytool.exe -genkeypair -alias mall-alias -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore E:\git_source\mall\z
HTTPS理解证书、认证方式、TLS握手)
迷雾总会解
09-12 5266
HTTP 存在的问题没有加密,无法保证通信内容不被窃听。没有报文完整性验证,无法确保通信内容在传输中不被改变。没有身份鉴别,无法让通信双方确认对方身份。HTTP over SSL,在 HTTP 传输上增加了传输层安全性(TLS)或安全套接字层(SSL),通过信息加密、数据完整性校验、身份鉴别为 HTTP 事务提供安全保证。SSL 会对数据进行加密并把加密数据送往 TCP 套接字,在接收方,SSL 读取 TCP 套接字的数据并解密,把数据交给应用层。
如何使用HTTPS证书
weixin_34416649的博客
06-05 627
HTTPS是数字证书的一种类型,主要是运用于传送网页数据的一种协议。HTTPS是在基础上加上一层SSL安全协议就生成了HTTPS证书,只有一层HTTP很容易被破解,容易被***偷看并且窃取网络数据信息,所以加上一层协议之后,保密措施更加严密,给用户的数据保护功能更加强大。https证书申请和ssl证书是一样的,确定需要做的域名、数量以及做的证书类型。联系我们合信ssl申请证书,会给你相应的解析值,...
什么是HTTPS安全证书
蔚可云的博客
11-11 2636
在讲HTTPS安全证书时,相信HTTPS与HTTP的关系大家也不是很清楚,我先和大家说明一下。HTTPS证书其实一种一种传输协议。HTTP协议传输的数据都是未加密的,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,从而被黑客加以利用,因此使用HTTP协议传输隐私信息非常不安全。 HTTPS相比较SSL,更加的安全保障网络安全。使用HTTPS加密协议访问,可激活 (SSL协议(什么是SSL协议),这样子就可以实现高强度双向加密传输,防止在传输数据的时候信息遭到泄露。简
什么是https证书
蔚可云的博客
11-08 1926
什么是https证书? 现在是一个信息大爆炸的时代,互联网的发展也变得非常迅速,很多公司都会成立一些网站来进行线上交易。但是因为网络环境的复杂性,线上交易总是面临的密码被盗,信息泄露等安全风险。所以这时候就需要一个https证书了。很多朋友可能不逃了解https概念,也不清楚证书的作用,那接下来,小编就来详细介绍一下吧。 什么是https证书https翻译过来就是超文本安全协议,简单讲是http通道的安全版。https的安全基础是ssl,所以加密的详细内容就需要ssl(什么是SSL)。这个系统
https证书介绍及应用
qq_27474555的博客
09-24 1631
1、https介绍 https是http的安全版,其安全基础是ssl,https协议的主要作用有2个,一种是建立一个信息安全通道,来保证数据传输的安全;另一种是确认网站的真实性。2、https和http的区别 (1)、https协议需要申请证书(免费证书较少,需购买); (2)、http是超文本传输协议,信息明文传输,https则是具有安全性的ssl加密传输协议; (3)、http和https使用...
什么是HTTPS证书
蔚可云的博客
10-28 1757
一、什么是HTTPS证书 HTTPS证书(即SSL证书)。HTTPS证书颁发给标识互联网域名的数字证书证书作用为建立SSL加密通道。 二、HTTPS证书的作用 HTTPS主要是为敏感数据和交易(如账单明细、信用卡交易和用户登录等)提供不安全HTTP协议之上的增强安全层。HTTPS使用SSL或TLS加密技术加密转换中的每个数据包,以避免中间黑客和攻击者提取数据帐篷;即使连接被破坏。 三、HTTPS概念 ​ 超文本传输协议安全(HTTPS)是标准Web传输协议(HTTP)的一个变体..
Https证书配置和使用以及容器服务https的部署
热门推荐
HealerJean梦想博客
08-31 3万+
前言 本文主要介绍下,Https证书的创建和使用、http和https同时使用、http自动跳转成https,以及阿里云容器服务配置https访问(同时使用http和https) 1、证书的申请 本地自己创建证书,在我的博客中有,大家可以自己浏览,这里介绍的是使用购买的证书,当然这里说的购买是不花钱的喽。哈,腾讯云和阿里云都可以购买证书,即使你的域名不是再这两个云服务商购买的也可...
https的ssl证书的使用流程
yzpbright的博客
06-07 494
为什么app本地需要配置ssl证书? SSL证书不是应该在https请求时客户端向服务器下载的吗? HTTPS证书下发流程 简述 HTTPS 证书认证 HTTPS证书本地生成和在nginx上的部署细节 【下载https协议需要的cer证书】 ...
togaf基础级证书
最新发布
02-04
TOGAF(The Open Group Architecture Framework)是一个开放的企业架构框架,它提供了一种有效的方法来开发、管理和维护企业架构。TOGAF基础级证书是对TOGAF框架基础概念和原则的理解和应用能力进行评估的认证。 TOGAF基础级证书的获得对个人和组织都具有重要意义。对于个人而言,获得TOGAF基础级证书意味着具备了在企业架构领域工作所需的核心知识和技能。这不仅有助于提升个人的职业发展,还能使个人更加理解和应用企业架构的最佳实践,为组织的业务和技术目标提供更好的支持。 对于组织而言,拥有TOGAF基础级证书的员工可以帮助组织更好地实施有效的企业架构管理,从而提升组织的业务流程和技术基础。TOGAF框架提供了标准化的方法和工具,使组织能够更好地管理和优化其业务和技术资产,提高组织的灵活性和创新能力。同时,TOGAF基础级证书也有助于提高团队之间的沟通和合作,促进协同工作,提高整体效率和业务成果。 TOGAF基础级证书的考试内容主要包括TOGAF框架的基本概念、主要构成和使用方法。考试分为多个部分,覆盖了企业架构开发、管理和应用的核心要素。通过考试获得证书需要掌握TOGAF的基本原则、组织架构、术语和概念,并能够理解和解释TOGAF框架的不同阶段和迭代过程。 总的来说,TOGAF基础级证书是评估个人对TOGAF框架基本概念和运用能力的认证。获得该证书有助于提升个人的职业发展和专业能力,同时也能为组织带来更有效的企业架构管理和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值