密钥、证书原理与创建

最新推荐文章于 2024-02-19 12:19:22 发布
最新推荐文章于 2024-02-19 12:19:22 发布
阅读量3.6k 收藏 8
点赞数 1
分类专栏: 笔记 文章标签: https ssl 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41937509/article/details/126957929
版权

一、公私钥

公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),将其中的一个向外界公开,称为公钥;另一个自己保留,称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。

二、证书和密钥关系

证书用于管理公钥。(公钥要公开。如何避免公钥被替换或损毁,引入了证书。)

私钥在服务器端,公钥一般在证书中(证书可以简单理解就是    比较安全防篡改的私钥)

比方

证书好比身份证(公钥+姓名+数字签名)。

证书机构(CA)好比公安局,负责管理和分发身份证。

证书内容

证书实际上是对于非对称加密算法来说的,一般证书包括公钥、姓名、数字签名三个部分。

CA登记 HASH(公钥+姓名) 标识唯一性,也就是证书里的数字签名。

甲方 发送数据给 乙方,去CA查找乙方的身份证书,上面有乙方的信息,可以保证公钥就是乙方的。然后把要加密的信息进行加密 给乙方。

三、生成证书的步骤与原理

生成证书的标准流程:

1.生成自己的私钥文件(.key)

2.基于私钥生成证书请求文件(.csr)

3.将证书请求文件(.csr)提交给证书颁发机构(CA),CA会对提交的证书请求中的所有信息生成一个摘要,然后使用CA根证书对应的私钥进行加密,这就是所谓的“签名”操作,完成签名后就会得到真正的签发证书(.cer或.crt)

4.用户拿到签发后的证书,可能需要导入到自己的密钥库中,如Java的keystore,或根据需要再进行各种格式转换(.pem .p12 .jks等等)

四、生成自签名证书

步骤:

1.创建私钥(.key)

openssl genrsa -out my.key 2048

2.基于私钥(.key)创建证书签名请求(.csr)

openssl req -new -key my.key -out my.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

参数:

/C= Country 国家

/ST= State or Province 省

/L= Location or City 城市

/O= Organization 组织或企业

/OU= Organization Unit 部门

/CN= Common Name 域名或IP

3. 使用自己的私钥(.key)签署自己的证书签名请求(.csr),生成自签名证书(.crt)

openssl x509 -req -in my.csr -out my.crt -signkey my.key -days 3650

对于这条命令,要注意以下几点:

这个命令是openssl x509,-req是参数,和前面生成证书签名请求的openssl req命令不同。

-signkey my.key配置清晰地表明使用自己的私钥进行签名。

注:1-2步可以用一条命令生成

openssl req -new -newkey rsa:2048 -nodes -keyout my.key -out my.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

1-3步也可以用一条命令生成

openssl req -x509 -newkey rsa:2048 -nodes -keyout my.key -out my.crt -days 3650  -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

五、生成私有CA签名证书

与生成自签名证书不同地方在于,生成自签名证书场景下只有一个参与方,请求证书和签发证书都是自己,而生成私有CA证书的场景里两个角色:

签发证书的一方:CA(主要牵涉的是CA私钥和根证书)

请求签发证书的一方:如服务器

为了变于区别,我们把它相关的文件分别用ca和server加以区别

步骤:

  1. 生成CA私钥(ca.key)和CA自签名证书(ca.crt)
openssl req -x509 -newkey rsa:2048 -nodes -keyout ca.key -out ca.crt -days 3650  -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

(此步骤和生成自签名中简化1-3步的命令一致)

注:私有CA证书其实就是一个普通的自签名证书

  1. 生成Server端私钥(server.key)和证书签名请求(server.csr)
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

(此步骤和生成自签名中简化1-2步的命令一致)

  1. 使用CA证书(ca.crt)与密钥(ca.key)签署服务器的证书签名请求(server.csr),生成私有CA签名的服务器证书(server.crt)
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650
  1. 验证证书是否创建无误
openssl verify -CAfile ca.crt server.crt

注:证书生成的文件如果直接vim查看是乱码,可以输入命令查看证书内容

openssl x509 -in ca.crt -noout -text

openssl x509 -in server.crt -noout -text

你飞哥也编程了
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全与加密常识(7)pem, der, crt, cer, key等各类证书密钥文件后缀解析
二进制君
06-30 672
在Windows平台上,CRT文件通常用于存储公钥证书,而CER文件则用于存储包含公钥和私钥的证书。CRT文件通常使用PEM或DER格式进行编码,而CER文件则通常使用DER格式进行编码。编码,并且包含了起始标记和结束标记,以便于识别和区分不同类型的密钥证书,(例如-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----)。使用PEM格式编码的KEY文件具有良好的可读性和可编辑性,而使用DER格式编码的KEY文件则更加紧凑和高效。
使用OpenSSL生成/签发证书原理、流程与示例
热门推荐
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
秘钥证书
喵喵的技术博客
10-17 3196
早期的网络通信是明文通信,即传递的消息均未加密,又因为网络通信的本质是通过广播实现的数据包传递,因此只要能够在网络节点进行监听就很容易获取传递消息中未加密的敏感信息,比如用于身份认证的用户名密码,并且即使认证信息进行了加密,因为消息传递的整个过程没有加密处理,所以也很容易实现中间人攻击,因此明文通信的方式已经在实际环境中逐渐被淘汰,取而代之的就是秘钥加密技术,秘钥的设计和产生算法涉及深奥的密码学,...
数字证书原理
weixin_30737363的博客
06-24 1827
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容...
密钥证书
斑竹的程序设计专栏
09-18 9002
密钥证书不对称加密使用公共/专用密钥对。对于使用专用密钥加密的数据,只能使用相应的公共密钥进行解密,反之亦然。顾名思义,公共密钥可广泛使用。相反,专用密钥为特定个人所有。将公共密钥传送至用户的分发机制称为证书证书一般由证书颁发机构 (CA) 签名,以确认公共密钥来自于要求发送公共密钥的主体。CA 是相互信任的实体。数字认证的典型实现包括证书签名过程。该过程如图 1 中所示。图 1. 数字认证过
密码学概念二:数字证书密钥基础知识
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
04-26 1818
https://www.zhihu.com/column/c_1380896366827388928本文主要简述数字证书密钥相关的一些基础知识,例如什么是数字证书?ASN.1 是什么?常见的 X.509 代表什么含义?什么是 PKI、PKCS 标准?对于非对称加密算法和数字签名来说,很重要的步骤就是公钥的分发。理论上任何人都可以获取到公开的公钥,然而这个公钥文件有可能是伪造的,传输过程中也有可能被篡改,所以一旦公钥自身出了问题,则整个建立在其上的的安全性将不复成立。数字证书机制 正是可以解决公钥分发问题,
关于密钥和数字证书
02-27 307
  前些天逛技术网,偶尔看到一篇国外关于密钥的通俗易懂的详解文章,当时对具体的细节还是有点模糊搞不清楚,so昨天恶补了一下,今天简单整理一下自己的收获,以备以后回顾。 1.鲍勃有两把钥匙,一把是公钥,另一把是私钥。 2.鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。 3.苏珊给鲍勃写信,写完后用鲍勃的公钥加密,达到保密的效果。 4.鲍勃收信后,用私钥...
安全加密 - 证书秘钥关系
迟来大师的博客
12-01 2849
一言蔽之: 证书用于管理公钥。(公钥要公开。如何避免公钥被替换或损毁,引入了证书。) 比方 证书好比身份证(公钥+姓名+数字签名)。 证书机构(CA)好比公安局,负责管理和分发身份证。 证书内容 证书实际上是对于非对称加密算法来说的,一般证书包括公钥、姓名、数字签名三个部分。 CA登记 HASH(公钥+姓名) 标识唯一性,也就是证书里的数字签名。 甲方 发送数据给 乙方, 去CA查找乙方的身份证书,上面有乙方的信息,可以保证公钥就是乙方的。 然后把要加密的信息进行...
创建SSL密钥证书
qq_21827277的博客
08-25 593
一、使用OpenSSL创建密钥证书 使用OpenSSL For Windows版,一行命令生成秘钥证书文件,只需替换以下命令行中的红色部分,复制、粘贴、执行即可: openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout myserver.key -out myserverca.crt -subj “/C=cn/ST=js/L=nj/O=mycompany/OU=IT/CN=www.myserver.cn/emailAddre
SFTP密钥认证原理与操作实践
与传统的FTP协议相比,SFTP通过加密数据传输和身份验证来提供更高的安全性。 在SFTP中,客户端和服务器之间的通信是通过加密的SSH隧道完成的,从而确保数据在传输过程中不会被窃听或篡改。 ## 1.2 密钥认证的概念...
https密钥证书
05-30
https密钥证书访问OceanConnect。。。。。。。。。。。。。。。。。。。。。。。
004653_利用SSH-Key实现安全的密钥证书方式登陆.docx
06-23
### SSH-Key实现安全密钥证书方式登录详解 #### 一、引言 SSH(Secure Shell)作为一种常用的远程登录协议,在互联网环境下广泛应用于Linux服务器的安全管理。为了提高安全性,除了使用默认的密码认证方式外,还...
Certificate create and sign tool:轻松创建和签署x509证书并生成RSA密钥对-开源
05-13
本文将深入探讨如何使用开源工具创建和签署X.509证书,并生成RSA密钥对。 首先,我们要了解的是RSA算法。RSA是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman于1977年提出。它基于两个不同的密钥...
数据安全:证书密钥对概念详解
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
02-19 706
在数字安全领域,证书密钥对(通常指公钥和私钥对)是确保信息安全、身份验证和数据完整性的基础。本文将深入探讨证书密钥对的概念、它们如何一起工作,以及在实际应用中的用途。
证书密钥
chenyan8111的博客
08-12 883
1, 基本概念 1.1 加密 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。 加密之所以安全,绝非因不知道加密解密算法方法,而是加密的密钥是绝对的隐藏,现在流行的RSA和AES加密算法都是完全公...
密钥 证书关系
weixin_30699443的博客
03-24 164
非对称加密算法称为公钥加密算法,按照密码学原则:所有算法都是公开的,只有密钥是保密的。安全系统设计者不能指望使用某种秘密的无人知晓的算法来保密。 应当使用一种公开的被验证过的算法——只要密钥是安全的,已知算法的攻击者实际上无法破解秘文的算法才是好的算法 RSA算法:长度可变,既能用于数据加密也能用于数字签名 1. 大质数 p,q ,p 不等于q N = pq 2. 选择一个...
密钥证书,签名相关概念
henrydlwang的博客
08-25 3990
一直以来对加密的相关概念都很模糊,今天上网搜了资料,整理下相关概念: 1、密钥:是一种参数,在加密和解密算法进行加解密时需要使用的一种参数。分为对称加密和非对称加密。对称加密就是相同的密钥进行加解密。非对称加密有一对密钥,分为共钥和私钥,共钥可以对外公开,私钥有私人持有;用其中一个密钥加密后,另一个密钥可以解密。目前比较流行的开源的对称加密算法有:DES(数据加密标准)、TripleDES(三重
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值