51 | 证书签发

最新推荐文章于 2024-08-20 16:11:13 发布
最新推荐文章于 2024-08-20 16:11:13 发布
阅读量346 收藏
点赞数
分类专栏: # Linux 文章标签: ssl https http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013916029/article/details/128687157
版权

1 常用术语

1.1 HTTPS

HTTPS = HTTP + TLS/SSL

1.2 TLS/SSL

SSL:Secure Sockers Layer,安全套接层
TLS:标准化之后的SSL

1.3 TLS

提供隐私和数据两个通信实体之前的完整性。由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。

1.4 单向认证 vs 双向认证

SSL的核心在于提供安全可信的通讯。实际应用中,通常有单向认证和双向认证两种实现方式。

1.4.1 SSL单向认证

1 客户端:发送客户端SSL版本信息等
2 服务端:返回SSL版本信息等及服务器公钥
3 客户端:校验证书是否合法,验证证书是否过期、CA是否可靠等
4 客户端:发送对称加密方案给服务端
5 服务端:选择加密方式
6 服务端:将加密方案明文发送给客户端
7 客户端:产生随机码,生成对称加密密钥,使用服务端公钥加密,发送服务端
8 服务端:使用私钥解密,获得对称加密密钥
9 握手结束,对称加密,安全通信

1.4.2 SSL双向认证

1 客户端:发送客户端SSL版本信息等
2 服务端:返回SSL版本信息等及服务器公钥
3 客户端:校验证书是否合法
4 客户端:将自己的证书和公钥发送至服务端
5 服务端:校验客户端证书,获得客户端公钥
6 客户端:发送对接加密方案给服务端
7 服务端:选择加密方式
8 服务端:将加密方案使用客户端公钥加密后发送给客户端
9 客户端:使用私钥解密,获得加密方式,产生随机码,生成对称加密密钥,使用服务端公钥加密后,发送给服务端
10 服务端:使用私钥解密,获得对称加密密钥
11 握手结束,对称加密,安全通信

1.5 SSL构建

1.5.1 私钥

私钥默认格式为pkcs1,一个简化的私钥生成命令:

openssl genrsa -out private.pem 3072

java对私钥格式有要求,需要转换为pkcs8格式,转换命令:

openssl pkcs8 -topk8 -inform PEM -in private.pem -outform PEM -nocrypt -out private-pkcs8.pem

如何将pkcs8格式证书还原成pkcs1格式?

openssl rsa -in private-pkcs8.pem -out pkcs1.pem

1.5.2 CA

认证中心,第三方认证提供方,为证书提供可靠性认证,开发过程中一般使用自签发证书进行测试,再使用正式签发的证书,
CA在使用时,主要是使用ca证书,ca证书由ca key签发而来。

农耕园
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CFSSL: 证书管理工具:3:使用CA私钥与证书签发证书
知行合一 止于至善
12-15 2063
这篇文章介绍一下如何使用CFSSL的命令创建出来的CA私钥和CA证书签发新的证书
阿里云https证书tomcat配置方法
01-20
在配置单中选择 “免费型DV SSL证书提供商品牌为:“赛门铁克” 注意:免费数字证书,最多保护一个明细子域名,不支持通配符,一个阿云帐户最多签发20张免费证书最后支付。 然后再点击查看 此时还未完成,需要点击...
怎么给网站申请免费的SSL证书,简单几步就能完成
qq_45716383的博客
07-26 3347
1、打开FreeSSL.cn这个网站,该平台支持多域名、通配符和51SSL证书的申请,点击51SSL。 2、 跳转到51SSL界面,点击控制台登录自己的账号,没有账号的自己注册一个。
使用51SSL安装证书
余热程序员的博客
05-27 329
使用51SSL安装证书
Tomcat SSL证书申请指南2024版本
程序员大阳
03-06 528
在订单管理中点击申请证书,买个便宜的就行。
SSL证书文件验证
linzai专栏
10-31 7755
SSL证书域名验证 SSL证书域名验证方式有三种:自动DNS验证,手工DNS验证,文件验证 自动DNS验证:域名和SSL证书都是同一个供应商购买 手工DNS验证:域名和SSL证书不是同一个供应商购买,需要到域名提供方进行解析验证 文件验证:用户无域名管理权限有服务器管理权限(域名非自己申请,但是可以使用) 文件验证 因为本人不是域名所有者,但是有服务器管理员权限,所以选择了文件验证,...
阿里云ssl证书验证——文件验证
qq_29950673的博客
05-20 7180
阿里云申请的ssl证书有一个验证过程,如果我们用的是阿里云购买的域名和服务器那这个严重很方便,系统会帮我们完成验证过程,如果像我一样域名用的不是阿里云购买的,那就麻烦了。 我们需要通过文件验证方式;来验证服务器,验证后才可以获得证书。 首先申请一个阿里云提供的免费ssl证书,按下图操作 购买后进入证书管理页面点击证书申请 输入申请信息,这里只能输入域名 选择文件验证 下一步,后我们进入如下页面,点击专有验证文件进行下载,下载后是一个压缩包 下载好以后,进入域名指向的服.
k8s--证书签发
yanghuadong的博客
02-09 1549
1.准备签发证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载地址https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载地址https://pkg.cfssl.org/R1.2/cfssl-certinfo_li...
PKI - 数字签名与数字证书
小工匠
01-24 3925
SSL是一种安全协议,用于在网络传输中提供数据加密、身份验证和完整性保护。它基于传输层协议(如TCP),并为其提供加密和安全功能。对称加密和非对称加密对称加密:使用相同的密钥进行加密和解密。非对称加密:使用两个密钥:公钥用于加密,私钥用于解密。数字签名:用于验证数据的完整性和身份验证。发送方使用私钥对数据签名,接收方使用公钥验证签名。数字证书:由可信第三方颁发的电子文档,其中包含有关个人或组织的身份信息以及公钥。SSL协议。
openssl创建CA并签发证书
健忘16的博客
02-16 3669
一、创建私有CA根证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
Unity_WebRequestError:卷曲错误51
03-13
在Unity游戏开发中,`Unity_WebRequestError:卷曲错误51` 是一个常见的网络通信问题,涉及到Unity的Web请求组件以及网络安全证书的验证。这个错误通常发生在Unity使用`UnityWebRequest`类进行HTTP(S)请求时,由于...
51CTO下载-2017年上半年软件设计师上午真题及答案解析
07-10
- **解析**:为了使不同CA签发证书之间能够互信,需要这些CA之间交换公钥信息,即进行交叉认证。因此,正确答案是 **D. I1、I2互换公钥**。 ### 10. 软件著作权归属问题 - **知识点**:软件著作权法律基础。 - *...
Linux 调试智能卡相关离线资源,包含pcsc-lite、ccid、libusb等安装包以及依赖软件包,包含多个版本的
01-23
例如,银行系统、电子身份证验证、数字证书签发等场景都可能用到这些工具。安装和配置这些组件,需要遵循以下步骤: 1. **安装依赖**:确保系统已经安装了必要的编译工具和库,如gcc、make、libusb-dev等。 2. **...
密码编码学与网络安全知识要点.pdf
10-14
42. 证书的拆封:涉及证书链的验证,确认证书签发链是可信的。 43. CRL(证书撤销列表):记录已撤销的证书,防止使用。 44. PKI(公钥基础设施)组成:包括证书颁发机构(CA)、注册机构(RA)、证书存储库和...
CentOS7下制作openssl1.1.1i RPM包并升级
eagle89的专栏
08-16 390
CentOS7下制作openssl1.1.1i RPM包并升级
java ssl使用自定义证书
IT从业者
08-20 121
java ssl使用自定义证书
解锁NGINX---SSL:打造安全、高效的网站加密体验
最新发布
xyyy060908的博客
08-20 609
作为网络专家,常被问到如何提升网站安全。SSL证书是关键,它确保数据加密传输,防止信息泄露。今天就教大家在NGINX上配置SSL证书SSL带来的企业好处:配置SSL证书后,企业网站将显示安全锁标志,增强用户信任,提升转化率。同时,数据加密确保客户信息安全,减少网络攻击风险。品牌形象亦因高安全性得到提升,特别是EVSSL证书还能显著增加交易量。通过SSL证书,企业不仅能提升网络安全防护,更能在竞争激烈的市场中树立信誉,赢得客户信赖。
gmssl如何签发证书
01-23
GMSSL(GmSSL)是由中国密码技术开发标准化工作组(TC260)指导的密码技术开发项目,是国密算法的开源实现。签发证书通常包括以下步骤。 首先,需要创建一个证书签发机构(CA)的私钥和公钥对。私钥用于对证书进行签名,公钥用于验证签名。对CA私钥的保护非常重要,通常会采取物理隔离或硬件安全模块(HSM)来保护。 其次,CA需要制定证书申请者身份验证的规则和流程,并通过这些规则对证书申请者的身份进行验证。 接着,一个证书请求(CSR)必须由证书申请者创建并提交给CA。CSR包含了证书申请者的公钥和个人信息。CA将使用自己的私钥对CSR进行签名,生成证书。 最后,CA将签发证书发送给证书申请者。证书中包含了证书申请者的公钥和公钥的持有者信息,并且由CA的数字签名进行了保护。 在GMSSL中,签发证书的步骤类似于标准的证书签发过程。GMSSL支持国密算法和国家密码标准,并提供了相应的工具和接口来管理证书和CA。用户可以通过GMSSL的命令行工具或API来进行证书签发和管理操作。同时,GMSSL也提供了相应的文档和示例来指导用户如何签发证书和搭建自己的CA系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值