ssl证书相关知识

最新推荐文章于 2024-01-11 15:06:03 发布
最新推荐文章于 2024-01-11 15:06:03 发布
阅读量727 收藏 2
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014614038/article/details/106575329
版权

证书文件格式

  • xx.crt:证书文件
  • xx.key:私钥文件
  • xx.req:请求文件
  • xx.csr:请求文件
  • xx.pem:证书文件为 pem 格式(文本文件)
  • xx.der:证书文件为 der 格式(二进制文件)
  • xxx.pfx :iis需要的证书
  • xxx.jks:java常见的证书类型
  • xxx.kbs :Android使用的证书类型

KEY 通常指私钥。
CSR 是 Certificate Signing Request 的缩写,即证书签名请求,这不是证书,只是包含申请证书的基本信息。生成证书时要把这个提交给权威的证书颁发机构,颁发机构审核通过之后,再根据这些申请信息生成相应的证书。
CRT 即 certificate的缩写,即证书。
X.509 是一种证书格式。对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。
X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:
PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…“开头,”-----END…"结尾,内容是 BASE64 编码。Apache 和 *NIX 服务器偏向于使用这种编码格式。
DER - Distinguished Encoding Rules,打开看是二进制格式,不可读。Java 和 Windows 服务器偏向于使用这种编码格式。

公私密钥和证书理解

  • 1、客户端向服务器发出加密请求,服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。
  • 2、客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。
  • 3、如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。
  • 4、如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。
    参考:https://cloud.tencent.com/developer/news/276498

证书种类与生成步骤

证书分为根证书、服务器证书、客户端证书。根证书文件(ca.crt)和根证书对应的私钥文件(ca.key)由 CA(证书授权中心,国际认可)生成和保管。那么如何服务器获得证书呢?向 CA 申请!步骤如下:

  • 1、服务器生成自己的公钥(server.pub)和私钥(server.key)。公钥用于解密,私钥用于加密;
  • 2、服务器使用公钥生成请求文件(server.req),请求文件中包含服务器的相关信息,比如域名、公钥、组织机构等;
  • 3、服务器将 server.req 发送给 CA。CA 验证服务器合法后,使用 ca.key 和 server.req 生成证书文件(server.crt);
  • 4、CA 将证书文件(server.crt)发送给服务器。

由于ca.key 和 ca.crt 是一对,ca.crt 文件中包含公钥,因此 ca.crt 可以解密 server.crt,用于验证 server.crt是否合法。

ca.crt、client.crt、server.crt的理解

ca.crt 是根证书文件可以当做理解是证书信任机构,用它来签发生成的客户端证书client.crt与服务器端证书server.crt。当客户端使用client.crt的私密加密数据发送到服务器端,服务器端使用ca.crt解密数字签名,验证客户端证书是否合法,如果是合法的话,解密获取客户端公钥进行数据解密。同理,服务器端收到客户端的加密数据,也通过ca.crt解密验证客户端是否合法,如果合法的话也是拿取解密出来的客户端公钥进行数据解密。

所以一般使用的话,客户端需要:
ca.crt、(检测是服务器端否合法)、client.crt(数据加密)
服务器端需要:
ca.crt、(检测是服务器端否合法)、server.crt(数据加密)

单向认证

单向验证是指通信双方中一方验证另一方是否合法。通常是指客户端验证服务器。

客户端需要:ca.crt

服务器需要:server.crt,server.key

PS:我们平时使用 PC 上网时使用的就是单向验证的方式。即,我们验证我们要访问的网站的合法性。PC 中的浏览器(火狐、IE、chrome等)已经包含了很多 CA 的根证书(ca.crt)。当我们访问某个网站(比如:https://www.baidu.com)时,网站会将其证书(server.crt)发送给浏览器,浏览器会使用 ca.crt 验证 server.crt 是否合法。如果发现访问的是不合法网站,浏览器会给出提示。

现实中,有的公司会使用自签发证书,即公司自己生成根证书(ca.crt)。如果我们信任此网站,那么需要手动将其证书添加到系统中

双向验证

双向验证是指通信双方需要互相验证对方是否合法。服务器验证客户端,客户端验证服务器。

客户端需要:ca.crt,client.crt,client.key

服务器需要:ca.crt,server.crt,server.key

双向验证通常用于支付系统中,比如支付宝。我们在使用支付宝时必须下载数字证书,该证书就是支付宝颁发给针对我们这台机器的证书,我们只能使用这台机器访问支付宝。如果换了机器,那么要重新申请证书。

部分内容参考来源:
https://zhuanlan.zhihu.com/p/86926335
https://www.cnblogs.com/hnxxcxg/p/11301262.html

楠之枫雪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
本地ssl证书生成工具
03-19
本地ssl证书生成工具
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7559
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2805
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书CA证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
Kubernetes集群的CA签名双向数字证书图示
runzhliu大数据/容器日记
05-21 616
Kubernetes 提供了基于 CA 签名的双向数字证书的认证方式,一般对于一个安全性要求比较高的集群,一般会选择双向数字证书的认证方式,而不采用 HTTP Base 或 Token 的认证方式的,所以对于搭建集群的安全设置,这种认证方式是需要掌握的。 api-server 作为 Master 节点的进程,像 Kubernetes 的其他组件都需要与之通信,所以这些证书的前提都是先在 Master 为 api-server 生成一个由 CA 证书签名的数字证书 server.crt,留意图一的过程。ca.
搞懂 PEM、ANS、PFX、P12、p8、CER、X509 等证书相关文件格式 后缀
你好
03-07 2万+
http证书相关文件格式、编码、概念比较偏多。这里对文件的各种文件后缀和格式做了统一的整理和解释说明
ssl证书生成图形化工具.zip
02-07
本文将详细介绍“ssl证书生成图形化工具.zip”中的关键知识点,包括SSL证书、XCA工具、证书生成流程以及HTTPS协议。 SSL(Secure Socket Layer)证书是数字证书的一种,它通过公钥和私钥对网络通信进行加密,为用户...
可运营的SSL证书在线生成系统源码,附带图文搭建教程
最新发布
01-12
1. 法规合规:作为SSL证书的运营者,需遵守相关的法律法规,确保验证过程的合法性。 2. 安全性:定期更新系统,修复安全漏洞,防止数据泄露。 3. 合作CA:选择受信任的CA合作,保证签发的证书被浏览器广泛认可。 4. ...
一键配置 SSL证书(HTTPS)
08-05
以下是关于“一键配置SSL证书(HTTPS)”的详细步骤和相关知识点: 1. **申请SSL证书**:首先,你需要有一个域名,并且拥有管理这个域名的权限。Let's Encrypt提供免费的SSL证书,但需要验证你对域名的所有权。...
ssl证书绑定端口.txt
05-11
ssl证书绑定端口:现在主流的移动操作系统及各大应用APP的生态环境(比如腾讯应用宝、华为应用市场、百度应用市场等以及国外苹果App Store、谷歌商店Android Market等),为了保证用户的隐私和网络的安全请求、会话...
Centos7安装mosquitto
云下的你
09-18 428
安装基础软件 yum install gcc-c++ yum install cmake yum install openssl-devel //mosquitto默认支持openssl 下载安装 mkdir /usr/local/mqtt cd /usr/local/mqtt wget http://mosquitto.org/files/source/mosquitto-1.6.6....
Go-加密学(五) - 证书crt、pem、pfx、cer、key 作用及区别
xiangjai的专栏
06-15 1万+
一、编码格式 二、相关文件扩展名
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
生成CA证书、公钥、私钥指令(数字证书
embbls的博客
02-22 5175
感觉写的不错,结构清晰,而且马上能用上,所以转了过来. 一、生成CA证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期, 查看证书有效期:openssl x509 -in server.crt -noout -dates 二.
密钥、证书原理与创建
qq_41937509的博客
09-20 3532
公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),将其中的一个向外界公开,称为公钥;另一个自己保留,称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。
SSL的初步理解
双手成就你的梦想
11-04 541
  那么首先我们会问,什么是SSLSSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL...
ServiceAccount中的证书以及对证书的理解
叮当猫的喵i
04-29 1023
参考 SSL/TLS及证书概述 https://segmentfault.com/a/1190000009002353 理解 程序支持TLS需要哪些文件 回到最开始的问题,cacertcertkey对应于上面的哪些东西呢? cacert就是CA证书cert就是程序自己的证书key就是程序自己的私钥。 对于服务器来说,至少需要有自己的私钥和证书,而对于客户端来说,至少需要一个cacert,不然没法验证服务器的证书是否正确。 证书如何验证 下面以浏览器为例,说明证书的验证过程: 在
基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https双向认证通讯
weixin_45762586的博客
01-11 857
基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https双向认证通讯
HTTPS双向认证及密钥总结
zhuzige521888的博客
10-12 1346
CSR是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。MAC消息认证码:它是一个需要密钥的算法,可以对可变长度的消息进行认证,把输出的结果作为认证符。所以,用发送者B的私钥签名,A用B的公钥解密签名即可确认是B发送,再用A的私钥解密消息即可。
阿里云SSL证书免费申请与验证全攻略
"阿里云SSL证书免费购买及验证下载教程" 阿里云SSL证书服务提供了一种方便、安全的方式来为网站启用HTTPS,确保数据传输的...因此,了解并掌握如何在阿里云上获取和安装SSL证书知识是每个网站管理员必备的技能之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值