OpenSSL-证书链

最新推荐文章于 2025-01-20 09:39:09 发布
最新推荐文章于 2025-01-20 09:39:09 发布
阅读量1.1w 收藏 18
点赞数 5
分类专栏: 密码学 SSL/TLS 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/76246863
版权
OpenSSL中的证书链包括Root CA和Intermediate CA。Root CA作为信任基础,签发Intermediate CA,后者可签发用户证书。在SSL握手时,Server发送证书链给Client,Client依据预装的Root CA逐级验证,确保证书链的信任。Server端加载证书时,需按正确顺序(用户证书-Intermediate CA)生成.pem文件,否则可能导致加载失败。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    SSL的CA证书可分为两种:Root CA(根CA证书)和Intermediate CA(中间CA证书)。其中Root CA是信任锚点,一条证书链中只能有一个。Intermediate CA可以有多个。Root CA通常不直接签发用户证书,而是签发Intermediate CA,由Intermediate CA来签发终用户书。它们之间的关系如下图所示:


    证书链就是Root CA签发二级Intermediate CA,二级Intermediate CA可以签发三级Intermediate CA,也可以直接签发用户证书。从Root CA到用户证书之间构成了一个信任链:信任Root CA,就应该信任它所信任的二级Intermediate CA,从而就应该信任三级Intermediate CA直至信任用户证书。

    客户的系统或浏览器上会默认安装多个知名的Root CA,在SSL Handshake过程中Server需要将证书链发送给Client(通常是浏览器),Client使用Root CA逐级对证书进行验证,直至验证Server的用户证书。

证书链的制作脚本如下: 
#!/bin/bash

set -e
dir=`dirname $0`
key
最低0.47元/天 解锁文章
Openssl的使用,CA证书,中间证书,服务器证书的生成与使用
tkgup的博客
02-11 405
介绍了证书的生成和使用示例
openssl 生成证书链
raptor-minds
05-29 1824
基于ubuntu 18.04 版本 ##生成 root CA 证书 检查openSSL Version openssl version OpenSSL 1.1.1 11 Sep 2018 create directory mkdir -p /opt/ca/root mkdir /opt/ca/root/key vim /opt/ca/root/openssl.cnf [ ca ] default_ca = CA_default [ CA_default ] dir = /
openssl命令操作证书链实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
使用Openssl验证证书链
rabbit729的专栏
02-06 1万+
 项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导/********************************************************************
使用OpenSSL创建自签名数字证书链例子
weixin_42938827的博客
03-09 520
最近做一个项目,需要用到自签名数字证书链。于是就研究了一下自签名数字证书链实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
OpenSSL-for-iPhone-master.zip_OpenSSL-for-iPhone_openssl_openssl
09-15
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含各种加密算法、证书处理和其他安全功能。在iOS开发中,如果你的应用需要进行安全的网络通信,如HTTPS,或者需要对数据进行加密解密...
Win64OpenSSL-3-1-0.exe
05-26
OpenSSL是一个开源的库,它提供了加密算法、SSL/TLS协议以及常用的证书处理功能。在开发环境中,尤其是涉及到网络通信、安全连接或者需要进行加密操作的项目时,OpenSSL是一个至关重要的工具。 描述中提到的文章...
openssl-1.0.2k-24.el7-9.x86-64.rpm包
04-09
3. `openssl-1.0.2k-24.el7_9.x86_64.rpm`:这是OpenSSL的主要二进制包,包含了OpenSSL命令行工具和其他核心组件,用户可以通过它来执行如生成SSL证书、加密文件等操作。 安装这三个包时,通常先安装`openssl-1.0.2...
openssl-1.1.1t版本安装包
11-01
4. **证书链完整**:确保服务器证书包含了完整的中间证书链,以避免连接失败。 5. **定期更新**:保持OpenSSL的持续更新,一旦有新的安全补丁,立即应用。 **四、`start.sh`脚本的作用** 在提供的压缩包中,`...
12-OpenSSL创建多级CA证书链Demo实践
最新发布
weixin_40332490的博客
01-20 371
default]name=root#自定义变量(可以放在开头也可以放在中间),使用方式:$name、${name}dir=.#自定义变量certs=$dir#已颁发的证书路径,即CA或自签的crl_dir=$dir/crl#已颁发的crl存放目录#unique_subject=no#设置为yes则database文件中的subject列不能出现重复值#即不能为subject相同的证书或证书请求签名。
openssl 生成自签名证书以及CA证书链
jxhaha的博客
06-18 2039
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
openssl证书链验证
热门推荐
TCP/IP
04-01 1万+
使用openssl验证证书链可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的
OPENSSL多级证书链
chengji2928的博客
12-09 1109
1.CA子签名证书 openssl genrsa -out ca.key 2048 openssl req -x509 -new -nodes -key ca.key -subj "/CN=chain.test.com/OU=department/O=CorpName/L=beijing...
openssl验证证书链_如何使用OpenSSL验证证书链
cunjiu9486的博客
10-08 5894
openssl验证证书链X509 certificates provides the authenticity of provided certificates in a chained manner. Internet world generally uses certificate chains to create and use some flexibility for trust. But...
使用openssl创建自签名的证书链
qq_40593293的博客
02-11 2430
第一步:生成自签名的根证书 $ openssl req -x509 \ -newkey rsa \ -outform PEM -out tls-rootca.pem \ -keyform PEM -keyout tls-rootca.key.pem \ -days 35600 \ -nodes \ -subj "/C=cn/O=mycomp/OU=mygroup/CN=rootca" 结果是生成根证书文件:tls-rootca.pem和tls...
ROS OpenSSL X509 证书链构建及自定义验证
Lin__Mu的博客
03-22 3071
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书链构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
使用OpenSSL创建多级CA证书链签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8879
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书链5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书链 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
利用OpenSSL 自签CA证书制作链式SSL证书
baidu_34881991的博客
03-31 2606
自签链式证书中间证书步骤
openssl验证证书链
01-08
### 使用 OpenSSL 验证 SSL/TLS 证书链 为了确保通信的安全性和可靠性,在建立安全连接之前,验证服务器提供的SSL/TLS证书的有效性至关重要。这通常涉及检查证书是否由可信的认证机构签发以及整个证书链条是否有效。 通过`openssl`命令行工具能够方便地完成这一操作。具体来说,可以通过如下方式来验证给定的证书文件及其对应的中间证书和根证书组成的证书链: #### 命令概述 使用 `verify` 子命令来进行证书校验工作。此子命令允许指定待检验的目标证书路径,并可通过 `-CAfile` 参数提供包含信任锚(即根证书)和其他可能需要的中级 CA 的PEM编码文件[^1]。 ```bash openssl verify -purpose sslserver \ -CAfile /path/to/ca-bundle.pem \ /path/to/server-verbose`: 输出详细的验证过程信息。 - `-purpose sslserver`: 明确指出该证书预期用于SSL服务器身份验证场景下。 - `-CAfile /path/to/ca-bundle.pem`: 提供一个包含了所有必要的上级颁发者(包括但不限于根CA)的捆绑文件位置。 - `/path/to/server-cert.pem`: 要被验证的具体目标证书的位置。 如果一切正常,则会看到类似于 "OK" 或者
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值