PKI-3-CA证书、自颁发(self-issued)证书、自签(self-signed)证书概念

已于 2024-04-23 12:05:17 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: PKI 文章标签: pki ca证书
于 2021-11-16 09:28:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010701274/article/details/106978879
版权

        在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书、自签(self-signed)证书。

        PKI-1-加解密的概念_1.什么是加解密?-CSDN博客

        PKI-2-数字签名和数字证书的概念_pki signature-CSDN博客

1. 常见概念

1.1 CA

        CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任

1.2 CA 证书

        CA证书:通常指的是颁发者和主体是不同的证书;

1.3 自颁发证书

        自颁发证书:是指证书的颁发者和主体是同一个CA的证书。换言之,就是自己给自己颁发证书,这对独立的软件开发者是比较友好的操作。

1.4 自签证书

        自签证书:是自颁发证书的一种特殊情形,由CA使用其私钥来对证书进行签名,而相应公钥就在证书中。 自签证书通常也称作“根证书”。

        自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书,证书的申请人和签发人都是同一个。

        自签名证书分为自签名私有证书和自签名CA证书两种。自签名私有证书无法被吊销,自签名CA证书可以被吊销。

1.5 特殊之处

        自签证书是自颁发证书的一种,在如下情形中,一张证书是自颁发证书而不是自签证书:CA在进行密钥更替时,可能会存在两个密钥对(新密钥对和旧密钥对),可能会存在用新私钥签发旧公钥或用旧私钥签发新公钥的情形,如此形成的证书是自颁发证书,却不是自签证书。

        自签名的证书无法被吊销,CA签名的证书可以被吊销。

1.6 证书需要能被吊销

        对于证书的信任,是网络间进行通信的基础,如果不能吊销证书,私钥可能被黑客获取,则黑客可以伪装成你与用户进行通信。

江南野栀子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
diyca:自己动手做的证书颁发机构
05-01
概述 ***仅Python 3 *** (Python 2已于2020年弃用) ***严格遵循docs / preparation_notes.txt非常重要。 *** 这个git项目构成了一个自己动手的证书颁发机构(diyca),适用于在进入集成系统测试之前就进行单元测试(开发人员测试)的受众:更多的开发人员,最终用户和/或审核员。 基于用户提供的证书签名请求(CSR),使用Web浏览器(Firefox,Safari等),使用Web服务器方法来获得由此单元测试CA签名的X.509证书。 该项目的灵感来自无数的物联网(IoT)项目,这些项目可能属于以下不良模式之一: 根本没有数据安全性:(1)没有端点的身份验证,(2)没有消息完整性检查,(3)数据以明文形式通过网络传输。 合作伙伴正在使用弱加密技术(例如RC4或Single-DES),并且没有安装或管理密钥的安全方法。 例如,
证书与中间证书区别
花飘万家雪
10-22 5964
许多人没有意识到最终用户SSL证书只是证书链的一部分。那么就让我们一起来聊聊中间CA和根CA证书吧。SSL(或更准确地说,TLS)是大多数终端用户几乎一无所知的技术。 即使安装了SSL证书的人也对SSL证书之外的事知之甚少,大多数人只是在服务器上安装SSL证书,让他们的网站可以开启HTTPS服务。这就是为什么当你开始提到中间证书CA、根证书CA时,大多数人的目光开始变得呆滞。那么,下面就让我们一...
PKI-CA体系介绍.zip
01-19
PKI/CA工作原理及架构介绍
PKI-CA体系.ppt
05-30
介绍pki-ca体系最全面最简单的一份ppt
论文研究-证书颁发机构CA的研究与设计 .pdf
08-15
证书颁发机构CA的研究与设计,邵素芬,,公钥基础设施(Public Key Infrastructure,简称PKI)是建立在公钥密码体制上的信息安全基础设施,为应用者提供身份认证、加密、数字签名��
自签证书CA机构颁发证书区别
孤独行者的专栏
03-03 6336
自己生成的SSL证书也叫自签名SSL证书,签发很随意,任何人都可以签发,容易被黑客仿冒利用,不是由正规的CA机构颁发的,所以不受浏览器的信任。 而付费的SSL证书,是由受信任的CA机构颁发的,申请时会对域名所有权和企业相关信息进行验证,安全级别是比较高的,而且备受各大浏览器的信任。当然是付费的好。 自签名SSL证书的缺点如下: 1、自签SSL证书最容易被假冒和伪造,被欺诈网站利用 自签SS...
如何使用工作证书验证根证书
chali1314的博客
09-08 1271
工作证书对根证书的验证主要是验证根证书的公钥。 已知根证书的格式为pem,工作证书格式为crt,验证流程为 1、读取根证书pem文件,获取根证书公钥; 2、读取工作证书文件,获取工作证书; 3、使用工作证书验证根证书公钥,验证通过,则说明该工作证书是根证书下发的 具体代码片段如下: /** * 根据根证书获取根证书公钥 * * @param rootCertPath 根证书路径 * @return * @throws Exception ...
openssl命令x509证书操作详解
N阶二进制的博客
11-03 3834
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书自签证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签证书时,虽然可以加密通信,但客户端在连接时通常
Nginx 颁发自签证书
以爱护甲,爱满枫林。
09-11 1106
对于CentOS-7 的系统,默认 nginx 的SSL配置路径是。在使用 http 访问 https 时,就会报。首先,确保安装了OpenSSL库,并且安装Nginx时使用了。输入密码后,再次重复输入确认密码。记住此密码,后面会用到。建议先进入这个目录,然后再执行下文的生成操作,最后把。中的 header 中增加上述描述信息即可,见下图。对于我司系统来说,只要在。
自签名根证书、中间证书、服务器证书生成流程详解
最新发布
N阶二进制的博客
12-01 2169
在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。至此,你已经生成了一个由中间证书签署的服务器证书。至此,你已经生成了一个由根证书签署的中间证书。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。生成自签名的根证书(Root Certificate)的过程包括生成私钥、生成自签名的根证书。生成服务器证书的步骤与生成中间证书和根证书类似。
PKICA与数字证书技术大全
12-06
从网络上找到这PKICA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
HCIA-SEC笔记14------PKI证书体系
weixin_44747184的博客
11-14 834
HCIA-SEC课程之PKI证书体系
基于 OpenSSL 生成自签证书,数字签名,泛域名证书ca证书PKI
sun007700的专栏
10-25 1806
基于 OpenSSL 生成自签证书_qhh0205-CSDN博客_openssl自签证书
win如何使用OpenSSL生成自签证书,使 http 升级为 https
guigenyi的专栏
06-27 7381
HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。创建自签证书需要安装openssl。参考本文安装OpenSSL部分。使用OpenSSL生成自签证书的步骤:参考本文使用OpenSSL生成自签证书部分。创建私钥Key(.key文件);创建签名请求(.csr文件);将Key中的密码;用Key签名证书(.key+.csr=>.crt)为HTTPS准备的证书需要注意,创建的签名请求的CN必须与域名完全一致,否则无法通过浏览器验证。
CA证书自签详解
z344945251的博客
06-05 7341
原文链接:http://blog.csdn.net/liunian_siyu/article/details/53024407 首先需要安装openssl。 openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。 首先需要利用openssl生成根证书
【https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 2682
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
OpenSSL生成CA自签名根证书颁发证书
FLY的博客
08-05 5995
openssl ca
OpenSSL生成CA自签名根证书颁发证书证书提取
Javazzc123的专栏
11-03 4652
>openssl x509 -req -in xxx/xxx-req.csr -out xxx/xxx-cert.pem -signkey xxx/xxx-key.pem -CA ca/ca-cert.pem -CAkey ca/root-key.pem -CAcreateserial -days 3650 ##签署服务器证书。$>openssl req -new -out xxx/xxx-req.csr -key xxx/xxx-key.pem ##创建证书请求。
使用OpenSSL创建CA证书自签
Brant Jobs的『作坊』 ㊣
01-21 5734
系统:Ubuntu 12.04 LTS (amd64) 软件:OpenSSL 安装:$ sudo apt-get install openssl openssl.cnf路径:/etc/ssl/openssl.cnf 步骤: 1、准备!创建工作目录,并将openssl.cnf复制到工作目录中。 ~$ mkdir ~/ssl ~/ssl$ mkdir ~/ssl/demoCA
perl oracle-linux 更新CA证书
05-30
要更新Oracle Linux上的CA证书,可以按照以下步骤进行操作: 1. 下载新的CA证书。 可以从CA机构的官方网站下载最新的CA证书。 2. 将新的CA证书保存到服务器上。 可以将新的CA证书保存到服务器的任何位置,例如 /etc/pki/ca-trust/source/anchors 目录。 3. 更新CA证书库。 运行以下命令更新CA证书库: ``` update-ca-trust ``` 4. 验证CA证书是否更新成功。 运行以下命令验证CA证书是否更新成功: ``` openssl s_client -connect <server_name>:<port> -showcerts ``` 如果新的CA证书已经被正确加载,则会显示新的证书信息。 注意:在更新CA证书之前,最好先备份当前的CA证书以便出现问题时可以恢复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江南野栀子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值