证书+证书链的简单理解

已于 2022-10-28 15:05:17 修改
阅读量1.6k 收藏 10
点赞数
分类专栏: 计算机网络 文章标签: 服务器 数字签名 证书
于 2022-10-28 15:00:43 首次发布
本文链接:https://blog.csdn.net/m0_37844072/article/details/127437104
版权

目录

证书申请

数字签名

证书链

证书链的应用场景

openssl工具使用

参考:一起学加密(23)——证书是什么_哔哩哔哩_bilibili

  • 证书申请

  1.  通过openssl生成公钥,私钥
  2. 公钥+申请者信息+域名+...--->生成一个csr文件(证书请求文件)
  3. 发到CA机构,做hash运算得到摘要
  4. 使用CA的私钥对摘要加密,生成签名。和csr文件一起作为证书
  5. 把证书返回给申请者

  • 数字签名

  1. 发送端对Input Msg做hash运算,得到hash值
  2. 通过private key做加密hash值得到Digtial Signature(数字签名),Signed Msg(Input msg  + Digtial Signature)作为一个整体发出去
  3. 接收到Signed Msg这个消息(可以理解为接受者拿到了这个文件),把Input Msg消息做hash运算得到hash值作为结果A。再把数字签名通过公钥进行解密计算得到结果B
  4. A和 B经过比较确认此条消息是否有私钥的正确签名(A和B一样则正确,反之错误)

  • 证书链

客户端认证https服务端证书过程详解——证书链_huzhenv5的博客-CSDN博客_证书链验证过程文章目录基本概念证书CASigning & Verification证书链实例CA组织end-user certificates & intermediates certificatesroot certificates其他基本概念证书首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (als...https://blog.csdn.net/huzhenv5/article/details/104578198在上述的verify的过程中,收到此消息的客户端,如何去获得签发者的公钥呢?这就涉及到了证书链

  • 链接写的很详细,简单的说就是:通过rootCA机构----intermediaCA机构----终端设备才拿到最终的证书

  • 证书链的应用场景

https证书认证/校验过程和证书链验证过程

  1. 当client访问baidu.com的时候,百度会返回证书(记为证书X)给client
  2. client本地存有baidu.com的根证书,发现证书X不由根证书签发,于是无法用根证书验证证书X是否可信
  3. client根据证书X 的issuser字段,找到证书X的签发机构,并请求签发机构给一个证书Y 给client
  4. 用根证书的public key验证证书Y(公钥对证书Y做计算得到结果A,对比证书Y中的签名B,一致则认为证书Y由根证书签发),验证通过则认为证书Y可信任。
  5. 证书Y可信任后,通过证书Y的公钥去验证证书X(Y的公钥+证书X的内容,计算得到签名A,拿到证书X自带的签名B),A和B 一致则认为证书X可信。
  6. 于是证书X由只信任根证书,到信任根证书的代表证书Y,信任证书Y等于信任根证书。
  • 证书链的验证:(根证书没有颁发者,叫自签:用自己的publickey验证自己的签名)
  1. 子证书拿到父证书的public key
  2. 用父证书的public key 计算得到签名值A
  3. 拿到子证书的签名值B
  4. A和B对比,一致则认为子证书可信任父证书。

  • openssl工具使用

  • 通过openssl生成公钥,私钥

openssl genrsa -des3 -out ca.key 2048

  • openssl生成CA根证书

openssl req -x509 -key ca.key -out rootca.crt -days 365

  • 查看根证书:

openssl x509 -in ca.crt -text -noout

L7256
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl命令操作证书实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
1+x 证书 Web 前端开发初级实操考试.zip
05-16
"1+x 证书 Web 前端开发初级实操考试"是一个针对初学者设计的实践考核,旨在检验学习者在Web前端开发领域的基础技能和理解程度。这个考核可能包括HTML、CSS、JavaScript等核心技术的运用,以及对网页布局、响应式...
证书简介
Dancen的专栏
10-26 9423
说明:除非特别指明,本文所述之证书,特指X.509 V3证书。 一. 什么是证书? 当客户端发起https请求时,web服务端会返回https证书,客户端将对证书进行验证,验证通过之后客户端和服务端之间才能继续进行通信。 严格来说,web服务端所返回的https证书不是一个单一的证书,而是一组有序的证书,称为证书证书由终端证书开始,然后是签署颁发该终端证书的中间CA证书,再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个,一直接下去,在证书的末端,是根证书
什么是证书
最新发布
展望、进击
04-18 495
在数字世界中,证书是确保通信安全和数据完整性的关键结构。它构建了一个从受信任的根证书颁发机构(CA)到目标服务器证书的信任路径。本文将详细解释什么是证书,它是如何工作的,以及为什么它对保障网络安全至关重要。🌐🔍
理解证书证书
热门推荐
求变,从思想开始
05-30 3万+
证书证书最近一直在研究的东东,这东西说到底,也是依赖于一个前提ROOT 证书,所以说很多安全说最终也是个伪命题;只是搞理论的人喜欢把东西搞复杂,乱扯概念,不讲本质。1. 简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。2.除了end-user之外,证书被分为root Certific...
理解证书证书(二)
求变,从思想开始
05-30 4854
3.序列号验证    序列号的验证是指检查实体证书中的签名实体序列号是否与签发者证书的序列号相一致,验证证书的真伪。验证操作过程是:用户实体证书中的AuthorityKey Identifier扩展项Cert Serial Number,即签发证书的序列号,检查CA证书中的Certificate Serial Number 证书序列号,二者应该相一致,否则证书不是可信任的认证机构CA所签发。   ...
Java获取完整SSL证书信息(包含完整证书)
张三博客
09-16 2万+
Java通过X509获取完整证书信息包含受信任的和不受信任的证书,包含完整的证书使用者、签发者、签名算法公钥、证书版本、证书品牌等信息
SSL 证书 是否合法,怎么看?
u014454462的博客
06-06 1357
话不多说有很多工具可以帮我们检查: https://www.godaddy.com/ssl-checker https://www.geocerts.com/ssl-checker https://www.sslchecker.com/sslchecker https://www.digicert.com/help/ https://www.ssllabs.com/ssltest/ https:/...
纯Java实现数字证书生成签名的简单实例
09-01
7. **证书构建**:如果生成的证书是由自签名的根CA签发的,那么证书仅包含该证书。但如果证书由中间CA签发,则需要将根CA和中间CA的证书包含在内,形成证书。 以上就是纯Java实现数字证书生成签名的基本流程...
Python数字证书分析
07-21
6. **证书**:有时证书还包括了中级CA的证书,形成一个完整的信任。 下面是一个简单的Python代码示例,使用`ssl`库解析证书: ```python import ssl context = ssl.create_default_context() with context....
https请求加载证书
11-19
1. **证书**:如果服务器证书是由中间CA签发的,我们需要确保TrustStore中包含了整个证书。 2. **证书有效期**:定期检查证书的有效期,避免因证书过期导致服务中断。 3. **证书吊销**:当证书被撤销时,需要...
关于证书的一点认知
hai330的博客
03-02 1096
顾名思义,证书是由一串数字证书接而成,为了弄清楚这个概念,先看看什么是数字证书。 一、数字证书的基础知识 数字证书是用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。数字证书由 CA(Certifacate Authority) 负责签发,关键内容包括 颁发s者、证书有效期、使用者组织、使用者公钥 等信息。数字证书涉及到一个名为 PKI(Public Key Infrastructure) 的规范体系,包含了数字证书格式定义、密钥生命周期管理、数字签名及验证等多项技术说明,不在这篇笔记中
关于SSL证书的一些认识
G
01-27 1368
一、数字证书的基础知识 数字证书是用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。数字证书由 CA(Certifacate Authority) 负责签发,关键内容包括 颁发s者、证书有效期、使用者组织、使用者公钥 等信息。数字证书涉及到一个名为 PKI(Public Key Infrastructure) 的规范体系,包含了数字证书格式定义、密钥生命周期管理、数字签名及验证等多项技术说明,不在这篇笔记中详细展开。 我们借助下面的流程,看看 CA 是如何签发一张证书,使用者又是如何验证这样
证书信任
走马川行雪的博客
05-16 1614
以下说明以税务测试证书为准: ‘税务总根证书’为最根本的证书,它可以给自己颁发证书,那么证书颁发者和证书使用者都为总根证书。那么证书的颁发者和颁发给都为总根证书,授权密钥标识符和使用者密钥标识符相同: ‘税务总根证书’可以颁发证书给下一级称为‘税务一级根证书’,则它的颁发者为总根证书,使用者为一级根证书;则颁发者的使用者密钥标识符与使用者的授权密钥标识符相同: 证书信任:税务总...
一文看懂HTTPS、证书机构(CA)、证书数字签名、私钥、公钥
一只黄鹂鸣翠柳的专栏
05-20 3881
君问归期未有期 说到https,我们就不得不说tls/ssl,那说到tls/ssl,我们就不得不说证书机构(CA)、证书数字签名、私钥、公钥、对称加密、非对称加密。这些到底有什么用呢,正所谓存在即合理,这篇文章我就带你们捋一捋这其中的关系。 对称加密 对称加密是指双方持有相同的密钥进行通信,加密速度快,但是有一个安全问题,双方怎样获得相同的密钥?你总不能总是拿着U盘把密钥拷贝给对方吧。 常见的对称加密算法有DES、3DES、AES等 非对称加密 非对称加密,又称为公开密钥加密,是为了解决对称加密
证书及java代码获取服务器证书
учёба
08-21 1354
HTTPS/SSL证书是由权威CA(Certificate Authority)机构颁发主要用于服务器(应用)数据传输路加密和身份认证,以及绑定网站域名,主要有如下几种证书EV SSL证书(Extended Validation SSL)OV SSL证书(Organization Validation SSL)DV SSL证书(Domain Validation SSL)不同的证书类型在浏览器标识上会享受不同的待遇。
SSL证书及使用
拾级而上
11-01 427
一条合法的证书可以网页带上小绿锁,不想了解一下么?
证书校验 与 证书合并
weixin_43986527的博客
01-16 4786
关于HTTPS 证书的 文章 https://juejin.cn/post/6844903688385855502 https://www.zybuluo.com/blueGhost/note/807076 https://backreference.org/2010/03/06/check-certificate-chain-file/ 比较关键的概念: 我们一般会有三种证书: RootCA.crt(rCA,被信任的根证书)、IntermediateCA.crt(mCA,某些厂商有多个中间证书)、ser
java使用证书验证证书
06-06
在Java中,可以使用javax.net.ssl包中的SSLContext和TrustManager来验证证书。下面是一个简单的示例: ``` import java.io.FileInputStream; import java.security.KeyStore; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManager; import javax.net.ssl.TrustManagerFactory; import javax.net.ssl.X509TrustManager; public class CertificateVerifier { public static void main(String[] args) throws Exception { String keystorePath = "path/to/keystore"; String keystorePassword = "keystorePassword"; String truststorePath = "path/to/truststore"; String truststorePassword = "truststorePassword"; // Load keystore KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType()); keystore.load(new FileInputStream(keystorePath), keystorePassword.toCharArray()); // Load truststore KeyStore truststore = KeyStore.getInstance(KeyStore.getDefaultType()); truststore.load(new FileInputStream(truststorePath), truststorePassword.toCharArray()); // Create SSL context TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tmf.init(truststore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, tmf.getTrustManagers(), null); // Create trust manager X509TrustManager trustManager = (X509TrustManager) tmf.getTrustManagers()[0]; // Verify certificate chain X509Certificate[] chain = (X509Certificate[]) keystore.getCertificateChain("alias"); trustManager.checkServerTrusted(chain, "RSA"); } } ``` 在上面的示例中,我们首先加载了keystore和truststore,然后使用TrustManagerFactory将truststore初始化为信任管理器,并将其传递给SSLContext。然后,我们从trustManager获取X509TrustManager对象,并使用它来验证证书。 请注意,此代码示例仅用于演示目的。在实际使用中,您需要使用自己的keystore和truststore,并使用正确的alias和密码。 希望这可以帮助您理解如何在Java中验证证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值