什么是CA证书

最新推荐文章于 2024-05-16 03:45:56 发布
最新推荐文章于 2024-05-16 03:45:56 发布
阅读量2.2k 收藏 5
点赞数
分类专栏: 科普、 文章标签: 什么是CA证书 CA证书 一句话懂什么是CA证书 CA证书原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ovowovo/article/details/105473753
版权

一文读懂什么是CA证书

单纯使用公私钥进行加解密,会存在公钥被替换伪造的风险,无法判断公钥是否属于服务提供商。

所以,公钥需要通过CA机构的认证。

CA机构用自己的私钥,对服务提供商的相关信息及公钥进行加密生成数字证书。

在进行安全连接的时候,服务提供商将证书一同发给用户。

用户收到证书后,从他的CA认证机构下载证书/公钥,验证服务提供商证书的合法性。

最后,从证书中提取服务商提供的公钥,加、解密信息进行通信。

名词解释

**CA: Certificate Authority,证书中心/证书授权中心/电子认证服务机构,负责管理和签发证书的,受公众信任足够权威的第三方机构,检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。**

**CA证书: CA颁发的证书, 或数字证书,包含证书拥有者的身份信息,CA机构签名,公钥等。**

证书编码:

DER编码,二进制DER编码。

PEM编码,用于ASCII(BASE64)编码,文件由 "-----BEGIN"开始,"-----END"结束。

证书文件后缀:

.pem(openssl默认,PEM编码的文件) .crt(Unix/Linux,DER或PEM编码都可以) .cer(windows,二进制)  .der(二进制)

秘钥文件:

.key

服务器证书申请文件/证书签名请求文件:

.req  .csr

使用openssl模拟秘钥证书的生成过程:

openssl x509工具主要用于输出证书信息, 签署证书请求文件、自签署、转换证书格式等。它就像是一个完整的小型的CA工具箱。

1.生成服务器私钥:

  *1.1.需要经常输入密码:*

  openssl genrsa -des3 -out server_private.key 2048 会有输入密码的要求

  *1.2.去除密码:*

  openssl rsa -in server_private.key -out server_private.key

  *1.3.无密码证书秘钥:*

  openssl genrsa -out server_private.key 2048

*1.4.生成公钥:*

//openssl rsa -in server_private.key -pubout -out server_public.key

2.生成 服务器证书申请文件/证书签名请求文件 .req:

  *2.1.openssl req -new -key server_private.key -out server.req*

  会让输入Country Name 填 CN; Common Name 填 ip 也可以不填。

  #查看server.req

  *2.2.openssl req -in server.req -text*

3.生成CA私钥:

  3.1.openssl genrsa -out ca_private.key 2048

4.生成 CA证书申请文件/证书签名请求文件 .req:

  4.1.openssl req -new -key ca_private.key  -out ca_request.req

  #查看ca_request.req

  4.2.openssl req -in ca_request.req -text

5.创建CA证书,用来给服务器的证书签名:(这个证书请求本来应由更高级的CA用它的private key对这个证书请求进行签发,由于此时模拟的CA是 root CA,没有更高级的CA了,所以要进行自签发,用 自己的private key 对 自己的证书请求 进行签发。)

  5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem

  #查看证书

  5.2.openssl x509 -in ca.pem -noout -text

6.CA用自己的CA证书ca.pem 和 私钥ca_private.key 为 server.req 文件签名,生成服务器证书,:

  6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem

  #查看证书

  6.2.openssl x509 -in server.pem -noout -text

  #查看公钥

  6.3.openssl x509 -in server.pem -noout -pubkey

7.查看服务器证书的modulus和服务器私钥的modulus,应该一样:

  7.1.openssl x509 -in server.pem -noout -modulus

  7.2.openssl rsa -in server_private.key -noout -modulus

8.用户访问https网站,服务器会用private key加密数据传输,同时会把证书传给用户,里面有public key信息,用于解密数据。

用户使用公钥机密的时候,要确认此公钥是否是服务商的,是否是受信任的。

用户从服务商证书中发现,其证书是由某CA签发的,从CA官网下载他的证书,发现它由 更高级CA签发 或者 是root证书,自签发的。

这时就可以一级一级的验证证书的合法性,最终确认服务商的证书是否被信任。

验证后就可以使用公钥解密信息,进行通信。

openssl verify -CAfile ca.pem server.pem

9. ls 出现以下文件:

  ca.pem  ca_private.key  ca_request.req  ca.srl  server.pem  server_private.key  server.req

10.从证书导出公钥:

  openssl x509 -in server.pem -noout -pubkey -out server_public.key

11.使用公钥加密,私钥解密:

  openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt

  openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt

12.不想浏览器发出警告,就导入ca.pem文件:

13.查看证书内容:

  13.1.打印出证书的内容:openssl x509 -in server.pem -noout -text

  13.2.打印出证书的系列号:openssl x509 -in server.pem -noout -serial

  13.3.打印出证书的拥有者名字:openssl x509 -in server.pem -noout -subject

  13.4.以RFC2253规定的格式打印出证书的拥有者名字:openssl x509 -in server.pem -noout -subject -nameopt RFC2253

  13.5.打印出证书的MD5特征参数:openssl x509 -in server.pem -noout -fingerprint

  13.6.打印出证书有效期:openssl x509 -in server.pem -noout -dates

  13.7.打印出证书公钥:openssl x509 -in server.pem -noout -pubkey

14.证书秘钥要使用相同的编码格式

15.证书格式转换:

PEM转DER格式:openssl x509 -inform pem -in server.pem -outform der -out server.der



DER转PEM格式:openssl x509 -inform der -in server.der -outform pem -out server.pem0
张玉安(ღ˘⌣˘ღ)
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CA证书概念介绍
baron-周贺贺-代码改变世界ctw
12-14 3023
CA, (Certificate Authority) CA认证,即电子认证服务, 是指为电子签名相关各方提供真实性、可靠性验证的活动。 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。 如果用户想得
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
CA证书
鸽子窝下蛋
01-30 2万+
1. CA证书理解?CA证书的作用?CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书。要对CA证书完全理解及其作用,首先要理解SSL。SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL3.0版本以后又被称为TLS。SSL位于TCP与各应用层之间,是操作系统向外提供的API。SSL如何保
2024年网络安全最新现代密码学-CA与数字证书详解_caca证书(2),2024年最新网络安全基础开发入门(1)
最新发布
2401_84968582的博客
05-16 838
证书类似现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片)绑定在一起。个人身份证是由国家权威机关(公安部)签发的,该证件的有效性和合法性是由权威机关的签名或签章保障的,因此身份证可以用来验证持有者的合法身份的信息,称为身份鉴定。数字证书也称为公钥证书,是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心(简称CA)对该证书的签名。
细说 CA证书
热门推荐
skykingf的专栏
05-03 3万+
转自 https://linux.cn/article-7289-1.html CACatificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任,能够受浏览器默认信任的 CA 大厂商有很多
ca证书
code_Ni的博客
07-18 437
----------- keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456 -------------- keytool -genkey -alias client1 -ke...
ca证书颁发
12-12
在深入探讨CA证书颁发之前,我们首先需要了解什么是CA证书以及它在网络安全中的作用。CA(Certificate Authority)证书,即证书颁发机构证书,是一种用于验证网站或其他实体身份的数字证书。这种证书由可信任的第三...
基于tls的CA测试证书
12-06
2. **创建自签名CA证书**:利用私钥生成一个自签名的CA证书,包含公钥信息、有效期、主体和颁发者等元数据。 3. **配置信任**:在客户端和服务器端,需要将这个CA证书添加到信任存储,以接受由该CA签发的证书。 4. *...
CA证书资源包(全版本通用)
12-15
CA证书,全称为“证书权威机构证书”,是网络安全领域中的重要组成部分,主要负责在互联网上验证数字证书的合法性。在本资源包“CA证书资源包(全版本通用)”中,包含了一个名为“cacert.der”的文件。这个文件通常...
北京CA 证书应用安装程序
07-25
北京CA 证书应用安装程序
最新CA数字证书
01-14
最新CA证书
PKI/CA与数字证书技术大全
12-06
标题"PKI/CA与数字证书技术大全"暗示了主题是关于公钥基础设施(Public Key Infrastructure, PKI)和认证授权机构(Certification Authority, CA),以及与之相关的数字证书技术。这是一套全面的资料,旨在帮助读者...
CA证书接口用法
09-08
CA证书接口用法 CA证书接口用法是指在软件应用系统中使用数字证书来实现身份认证、数字签名和数据加密等安全功能的接口使用方法。 CA证书接口用法主要包括证书应用接口的介绍、集成目标、集成内容、证书应用接口...
CA证书脚本windows,linux都有
10-14
CA证书,全称为“证书权威机构(Certificate Authority)”证书,是网络安全中至关重要的组成部分,主要用于验证网络身份和保障数据传输的安全性。在Windows和Linux操作系统中,CA证书的创建和管理是通过特定的脚本...
CA证书简单介绍
Munch_D_Rudy的博客
01-06 1万+
想要了解什么是CA证书,什么是CA、什么是证书证书的生成过程。 1、 什么是CACA全称为Certificate Authority,可以翻译为证书颁发机构。主要功能为:证书发放、证书更新、证书撤销和证书验证。 2、 什么是证书? 证书指数字证书。 数字证书又称为数字标识。其作用是对计算机网络交流中的信息和数据进行加密和解密保证信息和数据的机密性、完整性、可用性和不可抵赖性。 3、 证书生成过程 数字证书的签发过程: 1、 撰写证书的元数据:包括签发人、地址、签发时间、有效期等,还有证书持有者的基本信
CA证书(数字证书原理
万码奔腾的博客
03-18 2419
转自:http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html(感谢) 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出!
CA证书_ca 证书 ca 私钥,面试必备
m0_60667406的博客
04-07 826
外链图片转存中…(img-IFEfLNdO-1712475101757)][外链图片转存中…(img-O3af9Gxl-1712475101757)][外链图片转存中…(img-qBwT6u95-1712475101757)]
loadrunner的ca证书是什么
07-14
CA证书(Certificate Authority Certificate)是指由可信任的证书颁发机构(Certificate Authority,简称CA)签发的数字证书。在LoadRunner中,CA证书用于在模拟HTTPS通信时验证服务器的身份和建立安全连接。 当使用LoadRunner进行HTTPS协议的录制和回放时,需要配置CA证书以确保通信的安全性。通常情况下,你可以从CA机构或者服务器管理员处获取服务器的CA证书。然后,将该证书导入到LoadRunner中,并在脚本中使用该证书进行HTTPS通信的验证。 具体操作步骤可以参考LoadRunner的官方文档或者相关教程,因为不同版本的LoadRunner可能存在一些差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值