根证书、服务器证书、用户证书的区别

最新推荐文章于 2024-04-09 19:01:23 发布
最新推荐文章于 2024-04-09 19:01:23 发布
阅读量1.2w 收藏 63
点赞数 6
分类专栏: 证书 公钥 
原文链接:https://www.nginx.cn/5559.html
版权

https证书包含的文件

ca.cer中间证书和根证书
nginx.cn.cer你申请的ssl证书
fullchain.cer包括了 ca.cer 和 nginx.cn.cer 的全链证书
nginx.cn.key证书的私钥

什么是证书链

证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是根证书。

操作系统预先安装的一些根证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。

我们普通申请的ssl证书都是这些根证书的孙证书。根证书签发中间证书,中间证书签发ssl证书。

证书链的顺序是:ssl证书+中间证书+根证书。证书链上的每个证书都是被它相邻的证书签发。

证书以证书链的形式存在, 只有当整个证书链上的证书都有效时,才会认定当前证书合法 :

  1. 最上层为root,也就是通常所说的CA,用来颁发证书
  2. 最下层为end-user,对应是每个网站购买使用的ssl证书
  3. 中间一层为intermediates,是二级CA,这一层可以继续划分为多层,用来帮助root给end-user颁发证书。

浏览器中证书的验证顺序是

首先检查你购买的ssl证书的签发者是不是可信根证书,如果不是那么会检查你的证书的签发机构是否被可信根证书签发,以此类推,直到找到一个可信的根证书,标示你的证书是可信的,如果找不到那么你的证书是不可信的。

根证书是用来签发证书的,不参与通信,一般会内置在客户端的浏览器中。如果服务器没有安装中间证书,那么对于某些非主流浏览器、安卓手机设备,应用程序等可能没办法验证ssl证书的真实性,所以为了兼容所有客户端,服务器需要安装中间证书。

例如下面图中情况:你从证书2处购买了证书3,但是证书2不是默认包含在浏览器种的可信证书,中间证书2是根证书1签发的证书,如果服务器端只发送证书3不包含证书2,那么浏览器找不到证书3的签发者证书2,这样整个证书的验证链条就断裂了,你的证书就会被浏览器标识为无效证书“Invalid certificate” 或 “certificate not trusted” 

 

总结

根证书是第三方被大家信任的认证机构自签名的证书,通常浏览器会内置。

服务器证书是包含包含“ssl证书+中间证书”的证书链,对于某些不知名的中间证书,浏览器是不内置,服务器需要把ssl证书连同中间证书一起发送给浏览器,如果证书链不全,你的证书在这些浏览器上会不被信任。

用户证书有两种理解,如果对于证书颁发机构和服务器来说你可以理解为你申请的ssl证书;对于服务器-客户端交互来说是客户端的证书,比如我们的u盾。

大家可能有一个疑问,服务器上要不要安装根证书?从上面分析可以知道,浏览器是内置了根证书,不需要我们在服务器的证书链上加根证书。

如何安装中间证书?不同web服务器有不同的设置,apache有个变量SSLCertificateChainFile专门对应中间证书bundle,Nginx需要把ssl证书和中间证书打包为一个文件。

证书格式转换

cer和pem格式文件都是证书文件,key文件是私钥文件,证书机构会将两种格式的文件发放给客户。

pem或cer格式转为JKS格式文件包括公钥和私钥

第一步:在openssl命令行下输入如下命令,将pem或cer证书转pfx格式,回车后需要输入两次密码

pkcs12 -export -out server.pfx -inkey server.key -in server.pem(server.cer)

第二步:在命令行下使用java 的keytool工具,将pfx文件转换成jks文件

keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS

pem格式证书转成cer格式

先在终端cd到文件目录下 然后 

openssl x509 -outform der -in xxx.pem -out yyy.cer

或者直接把pem文件双击导入钥匙串,然后再钥匙串里右键导出

(xxx 是原证书的名称,yyy是转格式生成的证书名称)

 

crt格式转成der格式

先在终端cd到文件目录下 然后 

openssl x509 -in xxx.crt -out yyy.der -outform DER

(xxx 是原证书的名称,yyy是转格式生成的证书名称)

参考:

https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/
https://knowledge.digicert.com/solution/SO16297.html

转载请注明本文地址: https://www.nginx.cn/5559.html

容sir
关注
  • 6
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ssl测试证书
01-06
使用ssl制作的测试证书,包含了一个证书(root.cer),一个服务器证书(server.p12)和4个用户证书。可以用来测试https双向证书认证。
自签署证书服务器证书、客户端证书
08-18
自签署证书服务器证书、客户端证书,做起来真麻烦
fullchain.cer cert.cer,cert.key相互转化
最新发布
2301_82306493的博客
04-09 460
该文章转载自下面我们介绍如何使用cert.key、cert.cer、fullchain.cer生成cert.pfx、cert.jks,以及它们之间如何相互转换。
关于数字证书,数字签名,CA证书,Https都在这里了
不是很懂
07-08 2万+
Http协议大家都不陌生了,但是http的请求内容都是明文的内容,如果被拦截了请求,就能看到你的请求内容,比如账号密码之类的,这样的话就是不安全的, 然后就有了http+SSL/TLS =https ,在http的基础之上对内容进行加密,这样就能保证内容的安全性,但是如何加密呢? 加密大致可分为两种对称加密和非对称加密: 对称加密:加密的时候用密钥A,解密的时候还是需要密钥A 非对...
客户端证书服务器证书有什么区别
qq_30683393的博客
04-29 1万+
客户或用户身份 对某些人来说,提及PKI或“客户证书”可能会让人想起保护和完成客户在线交易的企业形象,但这些证书在我们的日常生活中以各种口味发现; 当我们登录VPN时; 在自动柜员机或银行卡上使用银行卡进入建筑物; 例如,在伦敦市中心使用的Oyster公共交通智能卡中。这些数字证书甚至可以在汽油泵,汽车装配线上的机器人甚至护照上找到。 在欧洲大陆和许多所谓的“新兴国家”,客户证书的使用尤其普遍,政...
nginx 代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个证书, 一个中间证书(intermediate), 三个客户端证书. 脚本来源于(有修改) https://stackoverflow.com/questions/26759550/how-to-create-own-self-signed-root-certificate-and-intermediate-ca-to-be-importe 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs
https详解之 证书服务器证书用户证书区别 jg证书
yuezhilangniao的博客
12-02 3934
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是证书。 操作系统预先安装的一些证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些证书的孙证书证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书证书证书链上的每个证书都是被它相邻的证书签发。
证书与中间证书区别
花飘万家雪
10-22 5984
许多人没有意识到最终用户SSL证书只是证书链的一部分。那么就让我们一起来聊聊中间CA和CA证书吧。SSL(或更准确地说,TLS)是大多数终端用户几乎一无所知的技术。 即使安装了SSL证书的人也对SSL证书之外的事知之甚少,大多数人只是在服务器上安装SSL证书,让他们的网站可以开启HTTPS服务。这就是为什么当你开始提到中间证书CA、证书CA时,大多数人的目光开始变得呆滞。那么,下面就让我们一...
SSL数字证书(一)CA、证书与数字证书
热门推荐
David
06-14 4万+
网络安全无疑是现阶段互联网发展最大的问题,数字证书是解决这个问题的一个绕不开的办法,不管是ActiveX插件还是https都需要用到数字证书。 基本概念 CA(Certificate Authority)被称为证书授权中心,是数字证书发放和管理的机构。 证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装证书意味着对这个CA认证中心的信任。 数字证书颁发过程一般为:用户首先...
https双向认证
u014644574的博客
08-07 1万+
https双向认证
HTTPS的理解(证书、认证方式、TLS握手)
迷雾总会解
09-12 5342
HTTP 存在的问题没有加密,无法保证通信内容不被窃听。没有报文完整性验证,无法确保通信内容在传输中不被改变。没有身份鉴别,无法让通信双方确认对方身份。HTTP over SSL,在 HTTP 传输上增加了传输层安全性(TLS)或安全套接字层(SSL),通过信息加密、数据完整性校验、身份鉴别为 HTTP 事务提供安全保证。SSL 会对数据进行加密并把加密数据送往 TCP 套接字,在接收方,SSL 读取 TCP 套接字的数据并解密,把数据交给应用层。
北向应用——电信平台CA证书.rar
06-04
证书应用于电信平台2019年3月调整证书后,北向应用服务器开发,HTTPS证书验证,其中包括测试证书、商用证书
nginx代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个证书, 一个中间证书(intermediate), 三个客户端证书. 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs crl newcerts private cd .. echo 1000 > $C/serial touch $C/index.txt $C/index.txt.attr echo ' [ ca ] default_ca = CA_default [ CA_defa
证书服务器配置与管理.pptx
06-10
证书服务器配置与管理全文共33页,当前为第1页。 学习目标 证书服务的基本概念 安装与配置证书服务器 客户端证书安装与使用 公钥基础设施PKI是目前实施网络安全应用的主要技术,其核心技术即使用公钥数字证书实现主体身份和公钥的绑定,制成各种安全机制的应用。Windows Server 2003提供了公钥证书管理工具,使用该工具可以方便产生、颁发、注销数字证书,架构企业自己的认证中心。本章介绍证书服务器的配置与管理,包括以下主要内容: 证书服务器配置与管理全文共33页,当前为第2页。 目 录 证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第3页。 证书服务的基本概念 公钥数字证书(又称为公钥证书、数字证书、Certificates)简称证书,是用于绑定实体身份和公钥信息的经过权威机构数字签名的声明,以文件的形式存在,证书将公钥与保存对应私钥的实体绑定在一起。 证书一般由可信的权威第三方CA中心(权威授权机构)颁发, CA 对其颁发的证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。 CA可以为用户、计算机或服务等各类实体颁发证书证书服务器配置与管理全文共33页,当前为第4页。 证书服务的基本概念 公钥证书以公钥密码算法为基础。公钥密码算法基于复杂数学问题构建公钥和私钥的映射关系。 使用公钥加密数据(数据加密),只能使用对应的私钥解密(数据解密)。 使用私钥加密数据(称数字签名),只能使用对应公钥解密(签名验证)。 证书服务器配置与管理全文共33页,当前为第5页。 证书服务的基本概念 广泛应用的证书格式基于国际电信联盟电信标准部门(ITU-T)建议的X.509v3 标准。 X.509 证书包括公钥和有关证书授予的人员或实体的信息、有关证书的有效期、用途等信息,以及有关颁发证书的CA的信息。 实体的主题(或主体,Subject)标示证书的持有者,证书的颁发者(Issuer)和签名者是CA。 证书服务器配置与管理全文共33页,当前为第6页。 证书服务的基本概念 证书只在证书颁发者对该证书指定的时间段内有效。每个证书包含"有效期从"和"有效期至"日期,这两个日期设置了证书有效期的界限。一旦超过证书的有效期,证书持有者必须重新请求证书。 如果因为某种原因,如证书主体私钥泄密、证书主体身份变更等,必须撤销证书的使用,颁发者可以吊销证书。每个颁发者(CA)维护一个证书吊销列表(CRL)。 证书服务器配置与管理全文共33页,当前为第7页。 证书服务的基本概念 IE浏览器,"工具"/"Internet选项"菜单,选择"内容"选项卡,单击"证书"按钮。对话框包括"个人"、"其他人"、"中级证书颁发机构"、"受信任的证书颁发机构"等不同证书存储区域。 证书服务器配置与管理全文共33页,当前为第8页。 目 录 证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第9页。 安装证书服务 安装Windows Server 2003证书服务组件 证书服务子组件详细信息 证书服务器配置与管理全文共33页,当前为第10页。 安装证书服务 设置CA类型 证书服务器配置与管理全文共33页,当前为第11页。 安装证书服务 选择加密服务提供程序 证书服务器配置与管理全文共33页,当前为第12页。 安装证书服务 设置CA的公用名称 证书服务器配置与管理全文共33页,当前为第13页。 安装证书服务 证书数据库设置 证书服务器配置与管理全文共33页,当前为第14页。 安装证书服务 完成安装后,系统重新启动IIS服务。在"管理工具"应用程序组中添加了"证书颁发机构"管理控制台,管理员使用它可以进行证书服务的管理与设置。 证书服务安装完成后,在证书服务器上将增加一个共享文件夹%SystemRoot%\system32\ certsrv\CertEnroll,下面存放CA的证书证书撤销列表(CRL)文件。 同时,在服务器的IIS服务中将增加证书服务的Web服务。 证书服务器配置与管理全文共33页,当前为第15页。 管理证书服务器 "证书颁发机构"管理证书服务器 处理挂起的证书请求 证书服务器配置与管理全文共33页,当前为第16页。 管理证书服务器 处理颁发的证书 证书服务器配置与管理全文共33页,当前为第17页。 目 录 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第18页。 安装CA证书 安装受信任的CA证书 访问证书服务器 证书服务器配置与管理全文共33页,当前为第19页。 安装CA证书 下载CA证书页面 证书服务器配置与管理全文共33页,当前为第20页。 安装CA证书 证书下载到本地磁盘后,可以安装到操作系统中。在IE浏览器中选择"工具"/
解决WIN7无法导入证书的问题
05-08
解决WIN7+IE8无法导入证书的问题
curl 校验服务器证书代码
03-09
代码使用libcurl+openssl实现校验服务器证书的逻辑。 代码以12306网站证书进行编写举例
微信支付rootca.pem通用证书文件
03-06
微信支付rootca.pem通用证书文件,2018年5月后微信支付默认不提供。
微信支付商户证书rootca.pem文件
02-29
微信支付商户证书cert.zip中的rootca.pem文件。据微信支付官方的信息:“由于绝大部分操作系统已内置了微信支付服务器证书CA证书, 2018年3月6日后, 不再提供CA证书文件(rootca.pem)下载。”
理解 HTTPS
leewccc的博客
02-28 936
HTTPS 概念   HTTPS(Hypertext Transfer Protocol Secure),顾名思义就是在 HTTP 协议的基础上加多一层安全的机制,本质上是 HTTP + SSL/TLS。 什么是安全   我们都知道 HTTP 协议是用于网络通信的,用户 A 向 用户 B 要通信,就需要通过 HTTP 协议来发送报文,然后报文经过多个路由器的
AD服务器上的证书和中间证书分别是什么
03-02
AD服务器上的证书是用于签发其他证书的顶级证书,中间证书则是连接证书服务器证书的中间层证书证书和中间证书通常都是由可信任的证书颁发机构(CA)签发的,用于验证服务器证书的真实性和可信度。在AD服务器上,证书和中间证书都是必需的,以确保与该服务器进行通信的客户端能够验证服务器证书的有效性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值