CA、TLS双向认证

最新推荐文章于 2024-08-23 17:31:24 发布
最新推荐文章于 2024-08-23 17:31:24 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Java 文章标签: 安全 ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33431394/article/details/111470191
版权

1.名词解释

  • TLS:传输层安全协议 Transport Layer Security的缩写
  • CA 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。
  • CSR 是Certificate Signing Request的缩写,即证书签名请求,这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。
  • CRT 即 certificate的缩写,即证书。公钥、信息和签名。
  • CER 是证书的公钥。
  • JKS 是JAVA的keytools证书工具支持的证书私钥格式。
  • PFX 是微软支持的私钥格式。
  • X.509 是一种证书格式.对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包 含有关用户或设备及其相应公钥的信息。
  • X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:
  • PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END…"结尾,内容是BASE64编码.
    Apache和*NIX服务器偏向于使用这种编码格式.
  • DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
    Java和Windows服务器偏向于使用这种编码格式
  • 摘要 对数据进行Hash运算。
  • 签名 使用私钥对摘要进行加密,得到的密文即被称为该次传输过程的签名。

2.生成双向认证的jks

2.1 通过Keytool生成JKS

生成服务器公私钥对---serverkey.keystore.jks
keytool -genkeypair -alias serverkey -keyalg ec -validity 365 -keystore serverkey.keystore.jks -storepass 1234567 -dname "cn=AA.COM, ou=AA, o=AA Cor, c=CN, l=SZ" -deststoretype pkcs12
生成客户端公私钥对---clientkey.keystore.jks
keytool -genkeypair -alias clientkey -keyalg ec -validity 365 -keystore clientkey.keystore.jks  -storepass 7654321 -dname "cn=BB.COM, ou=BB, o=BB Cor, c=CN, l=SZ" -deststoretype pkcs12

2.2 生成CA密钥对和CA证书

1.生成CA密钥库---ca.keystore.jks
keytool -genkeypair -alias rootca -keyalg ec -validity 3650 -keystore ca.keystore.jks -storepass 22222222 -dname "cn=CA.COM, ou=CA, o=CA Cor, c=CN, l=SZ" -deststoretype pkcs12
2.导出CA证书--rootca : ca.cer
keytool -exportcert -alias rootca -file ca.cer -keystore ca.keystore.jks -storepass 22222222 -deststoretype pkcs12

2.3 生成双向认证服务端JKS

1.生成证书请求文件csr---serverkey.csr
keytool -certreq -alias serverkey -keystore serverkey.keystore.jks -storepass 1234567 -file serverkey.csr -deststoretype pkcs12
2.使用 CA密钥库ca.keystore.jks对serverkey.csr进行签发: ---serverkey.csr->serverkey.cer
keytool -gencert -alias rootca -infile serverkey.csr -outfile serverkey.cer -validity 365 -keystore ca.keystore.jks -storepass 22222222 -deststoretype pkcs12
3.导入CA证书到服务器密钥库:
keytool -import -trustcacerts -alias rootca -file ca.cer -keystore serverkey.keystore.jks -storepass 1234567 -deststoretype pkcs12
4.导入签发证书到服务器密钥库:
keytool -import -trustcacerts -alias serverkey -file serverkey.cer -keystore serverkey.keystore.jks -storepass 1234567 -deststoretype pkcs12

2.4 生成双向认证客户端JKS

1.生成证书请求文件csr---clientkey.csr
keytool -certreq -alias clientkey -keystore clientkey.keystore.jks -storepass 7654321 -file clientkey.csr -deststoretype pkcs12
2.使用 CA密钥库ca.keystore.jks对serverkey.csr进行签发: ---clientkey.csr->clientkey.cer
keytool -gencert -alias rootca -infile clientkey.csr -outfile clientkey.cer -validity 365 -keystore ca.keystore.jks -storepass 22222222 -deststoretype pkcs12
3.导入CA证书到客户端密钥库:
keytool -import -trustcacerts -alias rootca -file ca.cer -keystore clientkey.keystore.jks -storepass 7654321 -deststoretype pkcs12
4.导入签发证书到客户端密钥库:
keytool -import -trustcacerts -alias clientkey -file clientkey.cer -keystore clientkey.keystore.jks -storepass 7654321 -deststoretype pkcs12

2.5 Keytool 常用操作命令

查看当前目录的证书 
keytool -list -v|-rfc|() -keystore serverkey.keystore.jks
查看cer信息
keytool -printcert -file ca.cer

Android与Windows Socket通信,TLS双向认证
什么是CA证书
数字签名是什么

此处一淌水
关注
专栏目录
HTTPS CA证书与TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPS、CA证书、TLS建立的过程,简单画了个图
CA证书和TLS介绍
weixin_30598225的博客
05-19 1136
数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现C截获AB之间的数据 所以在两者的通信中必须要对公钥的来源进行确认 A和B如果想安全交换公钥,就必须通过CA(证书颁发机构) 证书的通信过程 A和...
TLS认证流程及报文解析
最新发布
qq_42288975的博客
08-23 1416
介绍了TLS单向认证双向认证、会话恢复流程,根据报文解析深入理解上述流程。
TLSSSLCA 证书、公钥、私钥
nbspzs的专栏
07-05 2453
现在当我们的电脑需要访问该网站的时候,该网站就会给我们发来一个证书 B,由于我们的浏览器并不知道 B 证书是否合法,但是我们的电脑上已经预装了 A 证书,我们可以从 A 证书中提取出 A 的公钥,然后利用 A 的公钥对 B 证书的签名进行验证(因为 B 证书的签名是 A 的私钥签的),如果验证通过了,就说明 B 是合法的。被访问的网站提供了一个证书,这个证书是由一个操作系统所信任的证书颁发机构签发的,操作系统所信任的证书颁发机构一般都预装在操作系统中,通过第一步的方式可以查看。
TLS加密传输、CA、证书
lxb122435677的博客
02-24 1250
文章目录密码学背景对称加密非对称加密证书概念证书标准 密码学背景 对称加密 非对称加密 证书 概念 证书是由CA签发的对用户公钥的凭证。 证书标准 X.509 数字证书标准 ...
SSL/TLS 区别与应用 CA证书
杨义权的博客
01-27 404
SSL/TLS HTTP协议与TCP之间的一个可选层,用于数据安全传输。 SSL TLS CA证书 服务端/客户端证书 基础信息 基础概念 认证方式 OpenSSL 生成证书 生成pfx证书 https://blog.csdn.net/yiquan_yang/article/details/113250364 生成Nginx证书 生成后需要将Nginx证书目录/etc/cert映射到证书目录,或则将证书拷贝到该目录,在访问HTTPS时需要将证书加入可信任机构,将ca.pem改名为ca.crt后
TLS单、双向认证资料
11-27
2. **TLS双向认证**:在此模式下,服务器和客户端都需要验证彼此的身份。这意味着双方都需要有由可信CA签署的证书。 3. **Wireshark抓包**:Wireshark是一个网络封包分析软件,用于捕获和显示网络通信数据。在TLS...
TLS双向认证之生成双端证书信息
mt23
12-16 994
目录TLS双向认证需要的认证文件制作根证书第三方机构的根证书自签根证书(基于openssl)根证书签发证书服务端证书客户端证书 TLS双向认证需要的认证文件 服务端:server.crt、server.key 客户端:client.crt、client.key 双方信任的:root.crt 说明:服务端和客户端都需要这三个重要的认证文件: 根证书,双方必须信任这个证书,因为对方的证书就是由此根证书颁发的 自己的证书,TLS通讯的加密基础 自己的密钥,TLS通讯的加密基础 制作根证书 第三方机构的根证
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL安全套...
TLS双向认证配置(nginx+apache)
weixing100200的专栏
01-07 1382
client 访问apache,apache配置双向认证参数: #Mutual TLS authentication SSLVerifyClient require SSLVerifyDepth 2 深度,客户端证书到根证书的深度 SSLCACertificateFile /etc/pki/tls/certs/abcgkmangcn/rootca.crt (客户端证书对应的根证书) nignx+...
Java实现SSL双向认证的方法
09-01
SSL双向认证中,服务器和客户端都需要拥有各自的数字证书,这些证书由可信任的证书颁发机构(CA)签署,以证明它们的身份。当客户端连接到服务器时,不仅需要验证服务器的证书,服务器也需要验证客户端的证书,确保...
基于tlsCA测试证书
12-06
基于ecparam加密方式,生成的一套CA证书
【证书知识】HTTPS、SSLTLSCA简要介绍
白开水的博客
07-13 3539
HTTPS、SSLTLS三者之间的联系和区别 HPPTS是HTTP+SSL/TCP的简称 TLS就是SSL的新版本3.1 TLS/SSL是什么? SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport Layer Security,传输层安全协议),用于两个
TLSCA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 3248
TLSCA证书申请流程
02-创建 TLS CA证书及密钥
weixin_30414305的博客
01-29 323
本文档记录自己的学习历程! 创建 TLS CA证书及密钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书; 生成的 CA 证书和秘钥文件如下: ca-key.pem ca.pem kubernetes-key.pem kubernet...
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 1481
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
互联网协议 — TLSCA 认证
烟云的计算
01-05 1756
目录 文章目录目录CA 认证基本概念PKICA 机构X.509 标准数字证书的结构数字证书的类型数字证书的格式CA 证书认证流程浏览器 CA 认证流程 CA 认证 基本概念 PKI PKI(Public Key Infrastructure,公钥基础设施),是一种遵循既定标准的密钥管理平台,通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PIK 保证了通信数据的私密性、完整性、不可否认性和
fabric ca tls生成
yinwhm12的博客
07-26 2315
其实 跟msp生成一样的,都是要开启一个server端 ,只不过 enroll 时,命令多加上 -d --enrollment.profile tls 比如:登记orderer节点: fabric-ca-client enroll -d --enrollment.profile tls -u http://orderer:orderer-password@localhost:8054...
SSL/TLS(3): CA证书解释
猪哥的专栏
03-28 2234
SSL/TLS(1):基本概念通俗解释 SSL/TLS (2):通俗解释SSL/TLS为什么安全 前言 在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。 X.509 我们在使用mbedtls时,会发现有X.509的名称,在其他地方也
mbedtls 双向认证 代码
08-26
mbedtls是一个开源的加密库,提供了双向认证的功能。以下是mbedtls进行双向认证的一般代码示例: 1. 初始化mbedtls库并配置客户端和服务器端的身份验证参数。 ``` mbedtls_ssl_config client_config; mbedtls_ssl_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值