Linux证书与CA简介

最新推荐文章于 2024-01-09 15:07:51 发布
最新推荐文章于 2024-01-09 15:07:51 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: ssl 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35396734/article/details/112197742
版权

文章目录

CA和证书

1 中间人攻击

Man-in-the-middle,简称为 MITM,中间人

以上的各种加密措施,前提条件都是【传输过程无任何问题】,实际上可能会被中间人替换数据

【原理】A要发送加密数据给B,则A先要请求B的公钥,B传回公钥的过程中可能被替换!!!

=

2 CA和证书⭐

【定义】证书 = 权威CA 认证的数字签名 + 公钥

【作用】确保公钥传输过程的安全,证明公钥合法性!!!!!!!!

  • PKI:Public Key Infrastructure 公共密钥加密体系

  • 签证机构:CA(Certificate Authority)

  • 注册机构:RA(发起申请证书的对象,不一定是CA,可能是代理商,如阿里巴巴)

  • 证书吊销列表:CRL(对已经吊销的证书进行公布)

【标准格式】X.509:定义了证书的结构以及认证协议标准

  • 版本号
  • 序列号
  • 签名算法
  • 颁发者
  • 有效期限
  • 主体名称

【证书类型】

  • 证书授权机构的证书
  • 服务器证书
  • 用户证书

获取证书两种方法:

  • 自签名的证书:自已签发自己的公钥
  • 由证书授权机构颁发:
    1. 生成证书请求(csr)
    2. 将证书请求 csr 发送给CA
    3. CA签名颁发证书

注:CA自己的证书由上级CA颁发,根CA的证书由自己颁发(官方自签名)

=

3 安全协议SSL/TLS⭐

是同一个概念

  • 早期名称:SSL(Secure Socket Layer)
  • 现阶段名称:TLS(Transport Layer Security)
1 TLS介绍

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布

2006:TLS 1.1 IETF(Internet工程任务组) RFC 4346,从2020年3月起,停止支持TLS 1.1及TLS 1.0版本安全协议,谷歌(Chrome)、Mozilla(Firefox)、微软(IE和Edge)、苹果(Safari)都会发布新版浏览器执行这个策略

2008:TLS 1.2 当前主要使用

2018:TLS 1.3

【TSL的功能】

  • 机密性
  • 认证
  • 完整性
  • 重放保护(防止中间人截获替换)
2 SSL与TLS组成

工作在OSI模型的【传输层】和【应用层】之间

是一个【协议栈】,包括:

  • Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换
  • ChangeCipherSpec 协议:一条消息表明握手协议已经完成
  • Alert 协议:对握手协议中一些异常的错误提醒,分为【fatal】和【warning】两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
  • Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等
3 TLS实现过程

实现分为【握手阶段】和【应用阶段】

  • 握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。
    后续通信使用的所有密钥都是通过MasterSecret生成
  • 应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信
⭐实现方式1

RSA 密钥交换、RSA 数字签名

1. Visitor给出【协议版本号】、客户端【随机数1】、以及客户端【支持的加密方法】
2. Server【确认】双方使用的加密方法,生成【随机数2】
3. Server【发送数字证书】给Visitor
4. Visitor通过'查看证书状态且查询证书吊销列表'确认数字证书有效,
	并'使用信任的CA的公钥解密数字证书'获得Server的公钥,
	然后生成一个新的46字节【随机数3】(称为'预备主密钥 Pre-master secret'),
	并使用Server的公钥'加密预备主密钥'发给Server
5. Server使用自己的私钥,解密Visitor发来的预备主密钥
6. 此时Visitor和Server双方都具有了(客户端随机数1+服务端随机数2+预备主密钥3)
	它们两者都根据'约定的加密方法',使用这三个随机数'生成对称密钥——主密钥'(也称为'对话密钥session key')
7.双方验证完session key的有效性之后,SSL'握手机制就算结束了
8.后续的对话过程都使用 session key 进行加密
# 注:每相互通信一次,都重新计算出一个新的 session key !!!!!

总结:

  1. 在SSL握手机制中,需要三个随机数(客户端随机数+服务端随机数+预备主密钥)
  2. 至始至终客户端和服务端只有【一次非对称】加密动作
  3. 上述SSL握手机制的【前提是单向验证】,即无需验证客户端
  4. 最关键的一点是Visitor要验证Server证书的有效性

注:RSA 密钥交换有一个很大的问题:没有前向安全性Forward Secrecy。这意味着攻击者可以把监听到的加密流量先存起来,后续一旦拿到了私钥,之前所有流量都可以成功解密

⭐实现方式2

ECDHE 密钥交换、RSA 数字签名

目前大部分 HTTPS 流量用的都是 ECDHE 密钥交换

【原理】ECDHE 是使用椭圆曲线(ECC)的 DH(Diffie-Hellman)算法

【优势】相比 RSA 密钥交换,DH 由传递 Premaster Scret 变成了传递 DH 算法所需的 Parameter,然后双方各自算出 Premaster Secret。对于这种情况,由于 Premaster Secret 无需交换,中间人就算有私钥也无法获得 Premaster Secret 和Master Secret。

【缺陷】虽然中间人拿到私钥也无法解密之前的流量,但可以实施 MITM 攻击来解密之后的流量

【结论】保证私钥安全仍然是很重要的

我来烤烤你
关注
专栏目录
CA证书脚本windows,linux都有
10-14
在Windows和Linux操作系统中,CA证书的创建和管理是通过特定的脚本来完成的。这些脚本可以帮助我们自定义证书的属性,如颁发者、有效期、公钥等,从而建立一个安全的信任链。 在Windows系统中,CA证书的创建通常...
面试官:你了解数据安全传输吗?
前端下午茶
09-24 1161
鄢栋,微医云服务团队前端工程师。有志成为一名全栈开发工程师甚至架构师,路漫漫,吾求索。生活中通过健身释放压力,思考问题。看到这个标题,很多老铁会斩钉截铁的说,这道题我会!就是用 HTTP...
linux下生成https证书
ThinPikachu的博客
07-25 4243
linux下生成https证书
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1002
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 7029
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证。
linux认证考试有哪些
vecloud的博客
07-08 2989
今天小编给大家分享的是linux认证考试有哪些,相信很多人都不太了解,为了让大家更加了解linux认证考试,所以给大家总结了以下内容,一起往下看吧。一定会有所收获的哦。 linux认证有什么?linux认证有哪些? Linux认证指获得专业Linux培训后通过考试得到的资格。 Linux+ 代表了低级的Linux认证计划,而高级的Linux认证长期以来则几乎完全是Red Hat CertifiedEngineer(RHCE)认证计划的天下。RHCE是该领域最具挑战性的认证考试,所以它也是最有价值的Linux
Linux 上生成 SSL 证书
Fzuim的博客
03-28 1912
3. 配置 Nginx 使用 SSL:一旦您成功获得了 SSL 证书,则需要配置 Nginx 以使用它。这将启动 Certbot 并自动检测 Nginx 配置文件中的域名,并为它们生成 SSL 证书。5. 重启 Nginx:运行以下命令以使 Nginx 加载新的配置并开始使用 SSL: sudo systemctl restart nginx。现在,您已经成功为您的域名生成 SSL 证书,并使用 Nginx 的 443 端口进行了配置。将 example.com 替换为您的域名。保存更改并退出文件。
Rockey Linux下OpenSSL制作自签名CA证书应用
最新发布
07-13
### Rocky Linux下OpenSSL制作自签名CA证书应用 在当今高度数字化的世界中,网络安全变得尤为重要。其中,证书的使用是确保网络通信安全的关键之一。本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自...
Linux中架设CA证书中心.pdf
09-06
Linux中架设CA证书中心 本文主要讲述在Linux系统中架设CA证书中心的方法和步骤。CA证书中心是身份识别和通讯安全的重要组件,它可以提供数字证书来解决身份识别问题。在Windows中创建CA服务器非常常见,但是在...
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
本主题将详细讲解如何在Linux平台上使用OpenSSL工具生成CA(Certificate Authority)证书,以及涉及的相关文件类型和配置。 首先,让我们了解什么是CA证书CA证书是由受信任的证书颁发机构(如上述的CA)签发的,...
SecureCRT使用证书管理linux.docx
03-05
很实用的运维管理技巧
学完linux系统可以考的证书,七个忠告——给学习Linux的人
weixin_30110807的博客
05-11 2487
七个忠告——给学习Linux的人1、不要“玩Linux”很多人用Linux的时候会感觉很迷茫,该用哪个发行呢?是不是我少装了什么?怎么升级这么快啊!怎么这么不稳定!每当遇到新的软件他就想试用,每当新的版本出现,他就更新,然后用鼠标在新的菜单里选择从来没见过的程序来用用。其实你是为了Linux而使用Linux,而没有找到正确的理由来利用Linux。你首先要明确用电脑的目的,你用它是为了解决你...
有关linux证书,51CTO博客-专业IT技术博客创作平台-技术成就梦想
weixin_33364134的博客
05-15 593
准备两台主机,一台作为CA,IP地址为172.16.125.126;另一台作为用户,即证书请求的主机,IP地址为172.16.125.125。在主目录为CA的相关信息就是CA所在主机。而主目录为ssl的相关信息就是客户机,即要使用到证书的主机。第一步:在准备创建私有CA的主机上创建私有密钥;[root@localhostCA]#cd/etc/pki/CA[root@localhostCA]...
图解SSL/TLS协议
NowOrNever
11-11 1万+
转载http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
HTTPS协议
weixin_39361364的博客
08-24 424
背景知识 ·对称加密:通信双发使用相同的密钥对传输的数据进行加密和解密。(加密解密速度快;难以将密钥隐秘的传达给另一方;通信的一方要为所有想与之通信的另一方维护不同的对称密钥) ·非对称加密:分为公钥和私钥。通信的一方持有私钥,并将公钥分发给所有想与之通信的另一方。使用公钥加密的密文仅可以由私钥进行解密,使用私钥加密的密文仅可以由公钥进行解密。常用的非对称加密算法有RSA。(加密解密速度慢;直接将公钥公之于众,不需要隐秘的传达;通信的一方只需要维护一个私钥即可) ·密码散列函数:经过密码散列函数...
SSL协议之握手协议
iteye_5722的博客
12-19 1137
一、握手协议 握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。 每个握手协议包含以下3个字段 1、Type:表示10种消息类型之一。 2、Length:表...
linux CA证书详细配置
weixin_69084468的博客
01-09 824
Linux中配置CA证书领域)服务器涉及一系列步骤,这些步骤包括安装必要的软件,创建自签名的根证书,以及为客户端和服务器创建和签发证书。下面是一个简化的教程,包括每条命令的用途。- `openssl req`: 生成一个新的证书签名请求(CSR)。- `openssl ca`: 使用CA的根证书签发新的证书。- `-aes256`: 使用AES-256加密私钥。- `-extensions`: 指定证书扩展。- `-keyfile`: 指定CA的私钥文件。- `-cert`: 指定CA证书文件。
Linux系统生成CA证书
热门推荐
诗水人间
11-15 13万+
生成CA证书 在配置HTTPS监听时,您可以使用自签名的CA证书,并且使用该CA证书为客户端证书签名。 使用Open SSL生成CA证书 执行如下命令,在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。 sudo mkdir ca cd ca sudo mkdir newcerts private conf server newcerts目录将用于存放C...
linux系统添加根证书
weixin_49319422的博客
03-02 6795
1.报错如下 将证书添加到信任列表 下载证书,需要在对应网址获取证书 在liunx中将根证书和二级证书需要添加到 linux 证书信任列表 #转换格式 .cer 到 .pem openssl x509 -inform der -in twca.cer -out twca.pem openssl x509 -inform der -in twca-2.cer -out twca-2.pem #追加到信任列表 cat twca.pem >> /etc/pki/tls/certs/ca-
docker pull 忽略证书验证
05-30
如果您需要在使用`docker pull`命令时忽略证书验证,可以使用以下方法: 在Linux和macOS系统上,可以通过设置环境变量来禁用证书验证,命令如下: ``` export DOCKER_TLS_VERIFY="0" ``` 在Windows系统上,可以使用以下命令来设置环境变量: ``` set DOCKER_TLS_VERIFY=0 ``` 注意,这将禁用Docker的所有证书验证,因此不建议在生产环境中使用。此外,为了确保安全性,您应该只在您信任的私有仓库上使用此方法。 另外,如果您需要在Docker客户端中添加自签名证书,请参考Docker官方文档中的“使用自签名证书”一节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值