自签名证书和私有CA签名的证书的区别

最新推荐文章于 2024-03-17 19:50:49 发布
最新推荐文章于 2024-03-17 19:50:49 发布
阅读量2.3k 收藏 6
点赞数
原文链接:https://blog.csdn.net/sdcxyz/article/details/47220129
版权

自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信

 

如果你的规划需要创建多个证书,那么使用私有CA的方法比较合适,因为只要给所有的客户端都安装了CA的证书,那么以该证书签名过的证书,客户端都是信任的,也就是安装一次就够了

如果你直接用自签名证书,你需要给所有的客户端安装该证书才会被信任,如果你需要第二个证书,则还的挨个给所有的客户端安装证书2才会被信任。

 

 

 

 

证书类型:

x509的证书编码格式有两种

1.PEM( Privacy-enhanced Electronic Mail) 是明文格式的  以 -----BEGIN CERTIFICATE-----开头,已-----END CERTIFICATE-----结尾,中间是经过base64编码的内容,apache需要的证书就是这类编码的证书 查看这类证书的信息的命令为 :openssl x509 -noout -text -in server.pem

其实PEM就是把DER的内容进行了一次base64编码

2.DER 是二进制格式的证书   查看这类证书的信息的命令为 :openssl x509 -noout -text -inform der -in server.der

 

 

扩展名:

.crt 证书文件 ,可以是DER(二进制)编码的,也可以是PEM( ASCII (Base64) )编码的 ,在类unix系统中比较常见 

.cer 也是证书  常见于Windows系统  编码类型同样可以是DER或者PEM的,windows 下有工具可以转换crt到cer

.csr 证书签名请求   一般是生成请求以后发送给CA,然后CA会给你签名并发回证书

.key  一般公钥或者密钥都会用这种扩展名,可以是DER编码的或者是PEM编码的  查看DER编码的(公钥或者密钥)的文件的命令为 openssl rsa -inform DER  -noout -text -in  xxx.key  查看PEM编码的(公钥或者密钥)的文件的命令为 openssl rsa -inform PEM   -noout -text -in  xxx.key  

.p12 证书  包含一个X509证书和一个被密码保护的私钥

 

生成证书签名请求  用openssl  req

给证书签名 用 openssl x509

自签名证书的Issuer和Subject是一样的
证书的三个作用   加密通信和身份验证(验证对方确实是对方声称的对象)和数据完整性(无法被修改,修改了会被知)


 

一. 自签名证书:

1.生成服务器私钥  openssl genrsa -des3 -out server.key 4096

2.生成证书签名请求  openssl req -new -key server.key -out server.csr  这里要填一大堆东西 保证Common name跟你的域名或者IP相同

3.对上一步生成的证书签名请求进行签名  openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 

4.生成无需密码的服务器私钥 ,如果私钥是有密码的,则每次启动web服务器都会要求你输入密码

 openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

 确保你的私钥的安全性  因为该证书无法被吊销  chmod 999  server.key.secure  server.key

还有一个简单的方法一步创建私钥和自签名请求

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout apache.key -out apache.crt

这里的apache.key为私钥  apache.crt为证书

 

二.创建私有CA,然后用该CA给证书进行签名

1.创建CA私钥  openssl genrsa -des3 -out ca.key 4096

2.生成CA的自签名证书   openssl req -new -x509 -days 365 -key ca.key -out ca.crt   其实CA证书就是一个自签名证书

3.生成服务端私钥  openssl genrsa -des3 -out server.key 4096

4.需要签名的对象(服务端)生成证书签名请求  openssl req -new -key server.key -out server.csr 

这里注意证书签名请求当中的Common Name必须区别与CA的证书里面的Common Name

5.用步骤2创建的CA证书给步骤4生成的签名请求进行签名

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

三.查看信息

 openssl rsa -noout -text -in server.key 查看私钥信息

openssl req -noout -text -in server.csr 查看签名请求信息

openssl rsa -noout -text -in ca.key   查看ca的私钥信息

openssl x509 -noout -text -in ca.crt  查看证书信息

openssl crl -text -in   xx.crl  查看一个证书吊销列表信息

openssl x509 -purpose -in cacert.pem  查看一个证书的额外信息

openssl rsa -in key.pem -pubout -out pubkey.pem 从一个私钥里面提取出公钥

openssl rsa -noout -text -pubin -in apache.pub  查看一个公钥的信息

openssl verify  -CAfile  指定CA文件路径    apache.crt  验证一个证书是否是某一个CA签发

 openssl s_client -connect 192.168.20.51:443  模拟一个ssl客户端访问ssl服务器  如果服务端要求客户端提供证书  则在加上 -cert 和-key参数 比如 openssl s_client -connect 192.168.20.51:443 -cert client.crt  -key client.key 

openssl pkcs12 -in path.p12 -out newfile.crt.pem -clcerts -nokeys  从p12文件里面提取证书openssl pkcs12 -in path.p12 -out newfile.key.pem -nocerts -nodes  从p12文件里面提取私钥

现代浏览器检查一个证书是否仍然有效 两种方法 OCSP (Online Certificate Status Protocol,在线证书状态协议) 和crl (Certificate Revoke List ,证书吊销列表)

这些信息在CA的证书里面应该得有,否则浏览器无法检查由该CA签过的证书是否还继续有效  (这句话属于猜测)

可以试一下导出给京东或者淘宝签名的CA证书 并用openssl x509 -noout -text -in ca.crt 查看一下,就能看到这两类信息京东的证书是由GeoTrustSSL进行签名的,导出GeoTrustSSL CA的证书 然后查看该CA的信息其中有一段信息是这样

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://g1.symcb.com/crls/gtglobal.crl

            Authority Information Access: 
                OCSP - URI:http://g2.symcb.com

这里说明了它的证书吊销列表地址和OSCP协议地址
有兴趣的可以试试给淘宝签名的CA的证书信息


 

 

对已证书吊销列表 各浏览器的行为可以参考一下两个地址

http://news.netcraft.com/archives/2013/05/13/how-certificate-revocation-doesnt-work-in-practice.html

https://www.trustwave.com/Resources/SpiderLabs-Blog/Defective-By-Design----Certificate-Revocation-Behavior-In-Modern-Browsers/

 

 

easy-rsa这个包封装了这些操作,可以很方便的创建CA和证书 这个工具是为了配合openvpn使用的,不过也可以用来创建WEB证书
 

easy-rsa的特点是 使用方便不需要记忆大量的命令 而且配置文件里面有各种信息可以使你生成带有扩展信息的签名 比如 CA:TRUE等信息

1.安装easy-rsa

yum install easy-rsa

2.然后拷贝整个目录到工作目录 比如当前目录

cp -r /usr/share/easy-rsa/2.0 .

3.进入工作目录 cd 2.0

4.修改vars文件  修改国家省市代码 Common Name等,修改完以后导入一下

.  vars

5:  清除一下    ./clean-all

6.创建CA证书  ./build-ca   运行完这一步 在keys目录下就生成了 ca.crt(CA证书),ca.key(CA私钥)

7.创建服务端证书  ./build-key-server  域名或者ip(有域名填域名没域名写ip)  这样就创建好服务端证书和私钥了

 

8.安装CA的证书到客户端    然后安装服务端的证书和私钥到APACHE

 

 

    

apache的ssl配置
把生成的服务端的证书和私钥拷贝到一个目录 保证私钥的安全性
然后安装apache的ssl模块
yum install mod_ssl
修改 vim /etc/httpd/conf.d/ssl.conf
修改 SSLCertificateFile 指令为证书文件的路径
修改 SSLCertificateKeyFile 修改为私钥文件的路径

 

 

 

reference:

http://stackoverflow.com/questions/10175812/how-to-create-a-self-signed-certificate-with-openssl

http://stackoverflow.com/questions/4024393/difference-between-self-signed-ca-and-self-signed-certificate

https://metabrot.rocho.org/jan/selfsign.html
http://stackoverflow.com/questions/21297139/how-do-you-sign-certificate-signing-request-with-your-certification-authority/21340898#21340898  创建证书更复杂的应用  使用配置文件 可以生成 basicConstraints信息  CA:TURE等信息 

https://docs.ucloud.cn/software/vpn/OpenVPN4CentOS.html   easy-rsa使用说明

luckywll
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java使用X509Certificate获取证书详情
yyb1369584682的博客
08-02 2174
Java使用X509Certificate获取证书详情
Qt QWebsocket实现SSL后台服务程序 和微信小程序连接使用
MeeFly的博客
12-02 2832
QWebsocket使用SSL可实现wss通信,比如我们使用Qt编写一个服务器程序供微信小程序访问时,就需要用到带ssl的qwebsocket。 C/S架构下的微信小程序wss通信。
OKhttp忽略https证书
hdhhd的博客
08-10 2882
遇到坑公司两个网自动匹配错了一直报   D/NetworkSecurityConfig: No Network Security Config specified, using platform default 老费劲 记录下 到入工具类SSLSocketClient : import java.security.SecureRandom; import java.security.cer...
证书有效性验证、根证书
小强快跑~~
03-18 4042
来源:证书有效性验证、根证书 - 程序员大本营 一、 数字证书的有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信息,用户公钥,以及CA签名 那么我们要验证这张证书...
java安全架构____读取.cer证书文件的信息
热门推荐
-
04-06 1万+
import java.io.FileInputStream; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; /** * @author God * 随便找一个.cer文件读取即可 */ public class CertUtil { /** * @au
易语言源码易语言创建自签名证书源码.rar
03-30
本资源是关于使用易语言创建自签名证书的源代码,这对于需要在本地或私有网络环境中进行安全通信的应用程序开发至关重要。 自签名证书是在没有权威证书颁发机构(CA)的情况下,由个人或组织自行创建并签署的数字...
搭建Docker私有仓库(自签名方式)
01-10
通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证,认证时间长的要钱啊,免费过期时间太短,还是用自签名比较简单。 准备环境 环境:两台Centos 7 虚拟机  》服务器IP:10.57.220.244 ,作为Docker仓库...
利用CSP创建自己的证书
07-13
在IT领域,尤其是在网络安全和加密通信中,证书扮演着至关重要的角色。...不过,需要注意的是,自签名证书私有CA的使用仅适用于内部网络或测试环境,对于公共网络,应使用由公认的第三方CA签发的证书
签证cfssl资源文件包
06-24
签证,全称为“自我签名证书”,是个人或组织在没有权威证书颁发机构(CA)的情况下,为自己颁发的数字证书。这种证书主要用于测试环境或个人项目,因为它们不受主流浏览器的信任,但在本地或私有网络环境中...
QtWebsocket SLL加密通信Demo(包含客户端和服务端 QTcreator项目).rar
06-27
QWebSocket 添加 SLL 加密的 Demo,支持单向认证和双向认证,支持windows和linux双平台。
Android okhttp3.0忽略https证书的方法
08-28
主要介绍了 Android okhttp3.0忽略https证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java实现读取证书访问https接口
11-12
java实现读取证书访问https接口并获取返回数据.证书格式cer,der,crt等。
(一)WebSocket 详解,以及用QWebSocket 实现服务端和客户端(含代码例子)
bigger_belief的博客
05-17 8418
介绍了WebSocket特点,以及如何使用,用QWebSocket 实现一个客户端和服务端的主要步骤
HTTPS双向认证指南(亲测可行)
最新发布
springdk2009的博客
03-17 1778
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
QWebSocketServer
weixin_30721899的博客
03-03 964
QWebSocketServer 服务端 Public Types Public Function QWebSocketServer(const QString &serverName, SslMode secureMode, QObject *parent = Q_NULLPTR) virtual ~QWebSocketServer() void close() QWebSock...
java 读取.cer证书公钥字符串
qq_25933249的博客
11-29 4046
import sun.misc.BASE64Encoder; import java.io.FileInputStream; import java.security.PublicKey; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; public clas...
der解码规则_DER编码简介
weixin_39520393的博客
12-18 910
概念:DER是BER的子集,它为每一个ASN.1类型定义一种唯一的编码方案。DER与BER的区别:DER在BER的基础上增加了如下限制:长度小于等于127,必须使用短型长度表示法。长度大于127,必须使用长型长度表示法,并且要尽可能的短。对于简单的string类型以及在其基础上隐性标签生成的类型使用简单定长表示法。对于结构化类型以及在其基础上隐性标签生成的类型以及所有的显示类型使用结构化定长表示法...
der解码规则_使用openssl进行asn1结构的der数据解码
weixin_39524703的博客
12-18 1692
前段时间,工作上需要对asn1的数据进行解码,经过研究,使用了openssl进行了解码。这篇文章来记录下这个过程。首先来简单介绍下openssl、asn1和der。openssl:在密码方面广泛使用,提供相应的命令行和链接库。asn1:一种二进制的编码标准,即告诉我们要应该怎么组织数据,在电信和计算机网络方面被广泛使用(点我了解更详细)。der:是asn1的一个实现方案,即依照asn1来实现了组织...
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来存储您的CA文件: ``` mkdir myCA cd myCA ``` 3. 生成私有密钥:在终端中运行以下命令生成一个私有密钥文件: ``` openssl genrsa -out private.key 2048 ``` 4. 生成自签名证书:在终端中运行以下命令生成一个自签名的根证书: ``` openssl req -x509 -new -nodes -key private.key -sha256 -days 365 -out root.crt ``` 您需要按照提示填写一些证书相关信息,如Common Name(通用名称)。 5. 生成证书签名请求(CSR):如果您想为特定的服务或域名生成证书,可以使用以下命令生成CSR文件: ``` openssl req -new -key private.key -out server.csr ``` 同样,按照提示填写相关信息。 6. 签署证书:使用以下命令将CSR文件签署为证书: ``` openssl x509 -req -in server.csr -CA root.crt -CAkey private.key -CAcreateserial -out server.crt -days 365 -sha256 ``` 现在,您已经成功搭建了一个私有CA,并生成了根证书和服务证书。您可以将根证书(root.crt)安装在信任列表中,并将服务证书(server.crt)用于您的服务或域名。请注意,这些步骤仅提供了一个简单的示例,您可以根据自己的需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值