SSL数字证书(一)CA、根证书与数字证书

最新推荐文章于 2024-04-01 22:05:57 发布
最新推荐文章于 2024-04-01 22:05:57 发布
阅读量4w 收藏 134
点赞数 13
文章标签: SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwwl12/article/details/80691746
版权
  1. 数字证书原理(〇)认识SSL
  2. SSL数字证书(一)CA、根证书与数字证书
  3. SSL数字证书(二)使用makecert.exe签发证书
  4. SSL数字证书(三)使用 openssl 生成证书

网络安全无疑是现阶段互联网发展最大的问题,数字证书是解决这个问题的一个绕不开的办法,不管是ActiveX插件还是https都需要用到数字证书。

1. 基本概念

  • CA(Certificate Authority)被称为证书授权中心,是数字证书发放和管理的机构。
  • 根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。
  • 数字证书颁发过程一般为:
    1. 用户首先产生自己的密钥对,
    2. 将公共密钥(公钥)及部分个人身份信息传送给认证中心
    3. 认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息

有4个概念一定要清楚:

1.1 CA根证书,CA证书

CA证书有两个作用:

  1. 签发数字证书(用户找CA签发)
  2. 校验数字证书(客户找CA校验收到的证书是否合法有效)

在SSL通信握手过程中,需要将公钥数字证书交给对方,对方如何对数字证书进行校验?就是要在找到签发此证书的CA证书及证书链,一直找到CA根证书。

1.2 数字证书

使用CA证书的私钥给用户生成的公钥签名,生成公钥数字签名证书。证书是为了防伪、防冒充的。

我们通常说的数字证书都是公钥数字证书:包含公钥、签发证书的CA证书信息、CA数字签名等数据。

要验证数字证书的真伪,就需要找到签发这个证书的CA证书,要验证CA证书的真伪则需要找到签发CA证书的CA证书,就这样一直找到根证书。

1.3 非对称密钥系统

非对称加密、私钥、公钥、加密、签名。

非对称加密:在非对称加密系统中,公钥加密的数据只有私钥才能解密,私钥加密的数据只有公钥才能接密。

加密:公钥加密,私钥解密

签名:私钥加密、公钥解密

1.4 ssh免密登录

在ssh免密登录中,需要将公钥放到远程服务器中,本地保存私钥,即可实现免密登录。

2. 认证流程

https认证流程:

  • 1、服务器生成一对密钥,私钥自己留着,公钥交给数字证书认证机构(CA)
  • 2、CA进行审核,并用CA自己的私钥对服务器提供的公钥进行签名生成数字证书
  • 3、将生成的数字证书部署到web服务器
  • 4、client在https建立连接时,需要先从服务器获取数字证书,在本机找到数字证书的签发机构的CA的公钥(根证书)对数字证书进行验证,比对一致,说明该数字证书确实是CA颁发的(得此结论有一个前提就是:客户端的CA公钥确实是CA的公钥,即该CA的公钥与CA对服务器提供的公钥进行签名的私钥确实是一对。),而CA又作为权威机构保证该公钥的确是服务器端提供的,从而可以确认该证书中的公钥确实是合法服务器端提供的。

注:为保证第4步中提到的前提条件,CA的公钥必须要安全地转交给客户端(CA根证书必须先安装在客户端),因此,CA的公钥一般来说由浏览器开发商内置在浏览器或操作系统的内部。于是,该前提条件在各种信任机制上,基本保证成立。

3. 制作自己的根证书及数字证书

通过CA生成数字证书比较很麻烦,而且要收费贵,在公司设备与公司的服务器通信时可以采用自己生成的数字证书,但是需要将数字证书导入到设备中。

制作数字证书工具 makecert : makecert 制作数字证书
数字签名工具SignTool下载【 链接: https://pan.baidu.com/s/1nROzB5qcmrY25E-PlW3mFw 密码: x5jj】

奔跑的大伟哥
关注
  • 13
    点赞
  • 134
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
ssl证书cacert
08-12
curl ssl ca证书文件
数字证书CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
https详解之 根证书、服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 3805
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是根证书。 操作系统预先安装的一些根证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些根证书的孙证书。根证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书+根证书证书链上的每个证书都是被它相邻的证书签发。
CA证书——https安全保障的基石
最新发布
CSDN_G_Y的博客
04-01 2026
CA证书是https中最重要的,也是为何安全的最根本的保证
证书与中间证书的区别
花飘万家雪
10-22 5965
许多人没有意识到最终用户SSL证书只是证书链的一部分。那么就让我们一起来聊聊中间CA和根CA证书吧。SSL(或更准确地说,TLS)是大多数终端用户几乎一无所知的技术。 即使安装了SSL证书的人也对SSL证书之外的事知之甚少,大多数人只是在服务器上安装SSL证书,让他们的网站可以开启HTTPS服务。这就是为什么当你开始提到中间证书CA、根证书CA时,大多数人的目光开始变得呆滞。那么,下面就让我们一...
数字证书CA相关理解
学无止境
06-18 1026
数字证书CA相关理解先说一个通俗的例子普通的介绍信引入中介机构的介绍信相关专业术语的解释什么是证书?什么是CA?什么是CA证书?什么是证书之间的信任关系?什么是证书信任链?么是根证书证书有啥用? 本文转自: https://www.cnblogs.com/liyulong1982/p/6106132.html 写的很好理解, 感谢原创 先说一个通俗的例子 考虑到证书体系的相关知识比较枯燥、...
SSL数字证书CA证书CA中间证书SSL证书
hobby云说
04-10 6170
【前言】 说一下大背景吧,我们的一个后台服务需要部署在一个没法上外网的环境,但是我们的后台服务需要访问七牛云进行对象存储,于是乎,需要一个代理来完成这个访问,我门采用nginx七层来做这个代理,因为七牛访问是https,那么必然就需要自签证书咯。然后就开始吭哧吭哧造自签证书(具体签发过程请移步这里:基于OpenSSLCA建立及证书签发)。 造完根证书以及中间证书后...
【一】生成CA证书、公钥、私钥指令(数字证书
Rookie_Manito的博客
01-18 8726
一、生成CA证书 #生成 CA 私钥 openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书) openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期 二、每个证书持有人(Client、Server)都有一对公钥、私钥 #生成服务器端私钥 openssl genrsa -out server.key 1024 #利用服务器
CA证书工作原理
weixin_67623483的博客
08-11 3334
CA证书怎么工作的
CA证书数字证书原理)
万码奔腾的博客
03-18 2161
转自:http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html(感谢) 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出!
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6005
openssl ca
Openssl数字证书
11-21
1、介绍加密算法,阐述什么是数字摘要、数字签名、数字证书 2、用OPENSSL签发客户端、服务器端数字证书 3、HTTPS + tomcat7实例
数字证书简介-SSL协议及数据安全传输.pdf
06-11
1、经典安全/数字证书方面的题目讲解,加强基础知识; 2、SSL协议的工作原理详解; 3、常见的数据安全通信场景;
curl ssl ca证书
12-10
可以下载下来直接用的,可以解决一些curl的ssl认证方面的问题
mkcert证书创建自签名工具SSL证书CA证书颁发
05-05
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca证书,傻瓜式零配置签发证书
证书和中间证书有什么区别?
Racent_Y的博客
08-09 160
通常即使是获取了SSL证书的人,也只知道他们需要SSL证书,而且他们必须在服务器上安装SSL证书,才能通过HTTPS为网站提供服务。当进一步提到中间证书、根证书时,大多数人都感到陌生。本文小编就将为您介绍根证书与中间证书的定义以及区别,具体内容请往下看。
证书(root certificate)是屬於根证书颁发机构(CA)的公钥证书
weixin_40191861的博客
08-11 974
在密码学和领域,)是屬於根(CA)的,是在中,的起點。证书颁发机构的角色有如现实世界中的公證行,保證網路世界中電子證書持有人的身份。具體作法是透過,利用數位簽章為多個客戶签发多个不同的,形成一个以其根证书為顶层的樹狀結構,在此传递关系中所有下層證書都会因為根证书可被信赖而继承信任基礎。根證書在中作為信任錨的起點角色根證書沒有上層機構再為其本身作數位簽章,所以都是。许多(例如。
如何安装安卓(Android 7.0+)CA证书
tom的博客
03-14 1万+
写这个教程时,已经是2023年,现在最新的安卓系已经是Android 13。从Android7.0以后系统不再信任用户的证书,导致我们在使用一些网络调试工具时非常不便,为了解决这个问题,本教程将教你如何一步步操作,将用户级别的CA证书安装为系统级的CA证书
java RestHighLevelClient 连接开启SSL的ES 使用Ca证书
06-07
要在Java RestHighLevelClient中连接开启SSL的ES并使用Ca证书,您可以按照以下步骤进行设置: 1. 将Ca证书添加到Java的TrustStore中。您可以使用以下命令将Ca证书添加到Java的TrustStore中: ``` keytool -importcert -file /path/to/ca_cert.pem -keystore $JAVA_HOME/jre/lib/security/cacerts -alias my_ca ``` 2. 在Java代码中创建SSLContext并使用TrustStore中的Ca证书。您可以使用以下代码创建SSLContext: ```java SSLContextBuilder sslBuilder = SSLContexts.custom().loadTrustMaterial(trustStore, null); SSLContext sslContext = sslBuilder.build(); ``` 3. 在RestHighLevelClient中使用创建的SSLContext。您可以使用以下代码创建RestHighLevelClient: ```java RestHighLevelClient client = new RestHighLevelClient( RestClient.builder(new HttpHost("localhost", 9200, "https")) .setHttpClientConfigCallback(httpClientBuilder -> httpClientBuilder.setSSLContext(sslContext)) ); ``` 这样,您就可以使用Java RestHighLevelClient连接到开启SSL的ES并使用Ca证书进行安全通信了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值