如何获取服务器的 CA 证书?

最新推荐文章于 2024-05-01 18:18:27 发布
最新推荐文章于 2024-05-01 18:18:27 发布
阅读量1.3w 收藏 9
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013550000/article/details/106101458
版权

前言

HTTPS 通俗地来讲, 是在 HTTP 协议的基础上, 加入了 SSL 层来保证上层通信的安全. 它的主要作用可以分为两种: 其一, 单纯地建立信息安全通道, 来保证数据传输的安全; 其二, 通过证书校验的方式来验证网站的真实性. 其中, 在证书校验中包含单向认证和双向认证. 以单向认证为例, 客户端如何获取 CA 证书来校验服务器端的合法性?

本文档根据 CA 证书的来源, 分来两种场景进行了详细介绍.

场景描述1

将最新固件上传到 HTTPS 的云服务器上(本文档以 Amazon S3为例), ESP32 从当前固件 OTA (Over The Air Updates) 服务器上的最新固件.

基础知识 :

关于 OTA 的 demo, 详见 https://github.com/espressif/esp-idf/tree/master/examples/system/ota, 本文基于 simple_ota_example. OTA 的功能主要通过 API esp_https_ota 完成, API 用法如下.

esp_http_client_config_t config = {
        .url = CONFIG_FIRMWARE_UPGRADE_URL,
        .cert_pem = (char *)server_cert_pem_start,
        .event_handler = _http_event_handler,
    };
    esp_err_t ret = esp_https_ota(&config);

esp_https_ota 内部实现中, CA 证书也为必选项, 关于证书处理的部分源码如下. 则对于 HTTPS 证书校验获取资源, CA 证书的获取成为关键.

esp_err_t esp_https_ota(const esp_http_client_config_t *config)
{
...
#if !CONFIG_OTA_ALLOW_HTTP
    if (!config->cert_pem && !config->use_global_ca_store) {
        ESP_LOGE(TAG, "Server certificate not found, either through configuration or global CA store");
        return ESP_ERR_INVALID_ARG;
    }
#endif
...
}

基本步骤如下:

1.上传固件到 HTTPS 服务器

上传最新固件 hello-world.bin 到 Amazon S3, 如下图. 单击该条目, 弹出关于 hello-world.bin 的一些信息, 其中, 对象 URL: https://xxxxxxxxxxxx.s3.ap-east-1.amazonaws.com/hello-world.bin 为 ESP32 获取固件的资源链接.

!](https://img-blog.csdnimg.cn/20200513164351653.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM1NTAwMDA=,size_16,color_FFFFFF,t_70)在这里插入图片描述

2.获取该服务器的 CA 证书

这一小节着重介绍获取 CA 证书的方式.

  • 方式一: 使用 openssl 命令查看当前服务器的 CA 证书
openssl s_client -showcerts -connect url:port

根据本文中的服务器,只需执行如下命令:

openssl s_client -showcerts -connect xxxxxxxxxx.s3.ap-east-1.amazonaws.com:443

输出如下内容:

CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = *.s3.ap-east-1.amazonaws.com
verify return:1
---
Certificate chain
 0 s:CN = *.s3.ap-east-1.amazonaws.com
   i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
-----BEGIN CERTIFICATE-----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最低0.47元/天 解锁文章
甲虫ss
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
ca提取keystore_keystore提取私钥和证书
weixin_39847945的博客
12-22 362
keytool -genkey -alias test -keyalg RSA -keystore c:/key.store生成keyStoreRSA是一个既能用于数据加密也能用于数字签名的算法。DSA(DigitalSignatureAlgorithm,数字签名算法,用作数字签名标准的一部分),它是另一种公开密钥算法,它不能用作加密,只用作数字签名。DSA使用公开密钥,为接受者验证数据的完整...
服务器如何获取客户端证书,HttpClient获取服务器证书
weixin_36060917的博客
07-30 1090
以下教程演示了如何使用Apache HttpClient 4.5从资源服务器获取证书证书用于通过使用SSL / TLS的HTTPS保护客户端和服务器之间的连接。 当您需要有关证书的详细信息时,例如:证书何时到期?谁颁发证书?等等。或者在某些情况下需要读取服务器证书。 在下面的例子中,我们将详细解释如何实现。Maven依赖关系我们使用maven来管理依赖关系,并使用Apache HttpClie...
安卓 CA证书查询
iffy
03-23 2281
adb shell cat /system/etc/security/cacerts/* | grep Issuer: adb shell cat /system/etc/security/cacerts/* 证书验证 https://www.myssl.cn/tools/downloadchain.html SSL配置检查网站 https://www.geocerts.com/ssl-checker SSL配置检查网站: https://www.geocerts.com/ssl-..
2024年网络安全—部署CA证书服务器_ca证书系统的网络配置策略(1)
最新发布
2401_84253037的博客
05-01 653
其次可分辨后缀名需要有一定格式,并不是说一定这样,但是大家都规定了一个标准那就按照标准来。常见的可分辨名称后缀格式包括:1:CN=Common Name(通常用于个人证书)2:O=Organization(组织单位)3:OU=Organizational Unit(组织部门)4:L=Location(地区)5:S=State(州或省份)6:C=Country(国家)连上ISO后,会显示下图那样,你直接点击退出就行。
CA Certificate
01-09
Security in Networked Computed System OpenSSL Lab Session#6 Certificate Management
获取Ca证书相关与服务器信息
weixin_30546189的博客
11-02 266
Request.ServerVariables["Url"] 返回服务器地址Request.ServerVariables["Path_Info"] 客户端提供的路径信息Request.ServerVariables["Appl_Physical_Path"] 与应用程序元数据库路径相应的物理路径Request.ServerVariables["Path_Translated"] 通过由虚拟至物理...
如何从CA获取数字证书
qq_41957477的博客
06-28 3613
CA 证书 1.打开虚拟机,在服务器管理器中添加角色,找到“Activity Directory 证书服务”(具体步骤如下) 2.除了默认的证书颁发机构外,还需要安装“证书颁发机构web注册”组件(如图所示),在此界面打开“添加所需要的角色服务”安装IIS角色,以便让用户利用浏览器来申请证书 3.CA安装类型选择“独立” 4.CA类型选择“根CA” 5.在“设置私钥”中选择“新建私...
利用openssl和curl库获取https服务端证书
03-14
利用openssl和curl库获取https证书
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
Windows CA 证书服务器配置
10-11
Windows CA 证书服务器配置 在 Windows Server 2003 上配置微软 CA 的图文教程中,我们可以学习到以下知识点: 1. 安装准备:在安装微软 CA 之前,需要安装 IIS 组件,并添加证书服务组件。 2. 证书服务组件的...
windows server 2012CA证书服务器安装和配置
10-19
Windows Server 2012 CA 证书服务器安装和配置 Windows Server 2012 CA 证书服务器安装和配置是 windows 服务器中的一项重要功能,用于管理和颁发数字证书,以确保网络通信的安全性和身份验证。下面是 Windows ...
Windows CA 证书服务器配置.docx
05-06
"Windows CA 证书服务器配置" Windows CA 证书服务器配置是指在 Windows Server 操作系统上安装和配置证书颁发机构(Certificate Authority,简称 CA),以便提供数字证书服务。以下是 Windows CA 证书服务器配置的...
加密算法与CA证书CA,SSL/TLS,HTTPS,openssl)
Shengyun996的博客
02-08 1892
加密算法 安全 信息安全: 保密性,完整性,可用性,可控制性 常见安全技术: 认证,授权,审计,安全通信 对称加密算法 加密和解密使用同一个密钥 特性:效率高 缺点:密钥分发,数据来源无法确认 算法:DES,3DES等 非对称加密算法 通讯双方都拥有公钥和私钥 特性:数据加密,公钥加密需使用私钥解密,反之亦然 数字签名,接受者可以确认发送者身份 缺点:密钥长,算法复杂,效率低 算法:RSA,DSA...
Amazon S3简介
热门推荐
12-26 1万+
目录 文献参考: 存储桶 对象 键 区域 S3数据一致性模型 存储类别 存储桶策略 AWS Identity and Access Management 操作 创建请求 AWS 账户访问密钥 IAM 用户访问密钥 临时安全凭证 请求终端节点 通过IPv6向S3发出请求 使用 AWS 开发工具包创建请求 使用 REST API 创建请求 S3应用程序编程接口 ...
谷歌浏览器获取网站CA证书
weixin_43504224的博客
05-05 1924
CA证书获取
Linux之CA服务
笨笨的博客
04-17 1491
本笔记来源:一起学加密(23)——证书是什么_哔哩哔哩_bilibili 23,证书是什么 ①数字证书 证书certificate是一个在数字世界里用来认证用户或者设备的,它是由一些受信任的机构签发一个特殊的"文件" ,这个文件可以用来证明一个密钥属于特定的用户和设备,用户和设备从而可以使用该认证过的密钥来代表自己的身份,进行消息的传递。 这种用来签发证书的机构,我们称之为certificate authority(CA), 经由它签发的"文件" 我们称之为certificate证书。 ----.
OpenSSL生成CA自签名根证书和颁发证书证书提取
Javazzc123的专栏
11-03 4807
>openssl x509 -req -in xxx/xxx-req.csr -out xxx/xxx-cert.pem -signkey xxx/xxx-key.pem -CA ca/ca-cert.pem -CAkey ca/root-key.pem -CAcreateserial -days 3650 ##签署服务器证书。$>openssl req -new -out xxx/xxx-req.csr -key xxx/xxx-key.pem ##创建证书请求。
fiddler抓取https,提示“CA证书不在受信任的存储区域”的解决方法
Eayonz的博客
03-27 6138
背景: fiddler抓取终端https信息,提示:“由于CA证书不在“受信任的根证书颁发机构”存储区中,所以它不受信任” 解决方法: 通过在电脑端下载证书,将证书导入到“受信任的根证书颁发机构”存储区中解决该问题,具体如下: 一、win+r打开运行对话框 输入mmc并回车 二、点击左上角:文件–>添加删除管理单元 三、在可用的管理单元区域中,选择:证书,并点击添加–>确定 四、在控制台根节点中展开证书,选中受信任的证书颁发机构,在右侧对象类型中右击证书,选中所有任务并进行导入操作
windows ca证书服务器
09-12
Windows CA证书服务器是指运行在Windows操作系统上的证书颁发机构(CA服务器。它是用于颁发和管理数字证书的中心服务器,用于实现加密通信和身份验证。Windows CA证书服务器可以用于创建和签发各种类型的证书,包括服务器证书、客户端证书和代签名证书等。 Windows CA证书服务器的工作原理是基于公钥基础设施(PKI)技术。它使用非对称加密算法生成数字证书,并将其分发给客户端设备或服务器。这些证书包含了身份信息和公钥,用于验证通信双方的身份和确保通信的机密性和完整性。 为了设置和管理Windows CA证书服务器,您可以使用Windows Server操作系统中提供的证书服务角色。通过该角色,您可以配置证书颁发策略、创建证书模板、审核证书请求并颁发证书等。此外,您还可以使用证书管理工具来查看和管理已颁发的证书,包括吊销证书、更新证书和管理证书的有效期等操作。 总结起来,Windows CA证书服务器是一种用于颁发和管理数字证书的中心服务器,通过它可以实现加密通信和身份验证。它使用PKI技术生成和分发证书,并提供一系列工具和功能来设置和管理证书的颁发和维护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值