基于 OpenSSL 生成自签名证书
PKI、CA、SSL、TLS、OpenSSL几个概念
PKI 和 CA
PKI 就是 Public Key Infrastructure 的缩写,翻译过来就是公开密钥基础设施。它是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施。
PKI 是目前唯一的能够基本全面解决安全问题的可能的方案。 PKI 通过电子证书以及管理这些电子证书的一整套设施,维持网络世界的秩序;通过提供一系列的安全服务,为网络电子商务、电子政务提供有力的安全保障。
通俗点说 PKI 就是一整套安全相关标准,然后基于这套标准体系衍生一系列安全相关的产品,主要目的是保证数据在网络上安全、可靠地传输。
PKI 主要由以下组件组成:
- 认证中心 CA(证书签发) ;
- X.500目录服务器(证书保存) ;
- 具有高强度密码算法(SSL)的安全WWW服务器(即配置了 HTTPS 的 apache) ;
- Web(安全通信平台): Web 有 Web Client 端和 Web Server 端两部分
- 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。
CA 是 PKI 的"核心",即数字证书的申请及签发机关,CA 必须具备权威性的特征,它负责管理 PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布 。
CA 实现了 PKI 中一些很重要的功能:
- 接收验证最终用户数字证书的申请;
- 确定是否接受最终用户数字证书的申请-证书的审批;
- 向申请者颁发、拒绝颁发数字证书-证书的发放;
- 接收、处理最终用户的数字证书更新请求-证书的更新;
- 接收最终用户数字证书的查询、撤销;
- 产生和发布证书废止列表(CRL);
- 数字证书的归档;
- 密钥归档;
- 历史数据归档;
在这么多功能中,CA 的核心功能就是"发放"和"管理"数字证书: