自颁发CA证书、自签名-nginx配置https

明台

已于 2025-01-12 16:56:21 修改

阅读量888

点赞数 11

分类专栏：运维文章标签： nginx https 运维

于 2025-01-12 16:54:02 首次发布

本文链接：https://blog.csdn.net/xiaofeio/article/details/145094558

版权

知识准备

CA证书、自颁发证书、自签名证书

原文链接： CA证书、自颁发证书、自签名证书联系 - KylinZhuang - 博客园

理论基础

ssl ： secure socket layer（安全套接层协议）的缩写，通过此协议可以保证两个应用通信的可靠性和保密性。
openssl ： 是ssl协议的实现。提供了对称加密算法、非对称加密算法以及秘钥证书管理等功能。
**公钥私钥：**公钥和私钥组成一个密钥对，必须配对使用。一般公钥公开，私钥自己保留。

公钥加密，私钥解密，一般用于传输数据；
私钥加密，公钥解密，一般用于数字签名、验证身份。

**证书：**全称是公钥证书，由第三方机构CA颁发。CA利用自己的私钥对真正的公钥施加数字签名并生成证书，客户拿到证书后，通过CA的公钥来对证书解密，拿到真正的公钥。证书有两种编码格式：

pem ：文本格式，以"-----BEGIN…“开头，以”-----end…"结尾，内容是base64编码，Apache和*nginx服务器一般使用这种编码；
der ：二进制格式，不可读，windows服务器一般偏向使用这种。

什么是CA证书、自颁发证书和自签名证书？

CA证书： CA证书是由证书授权机构（Certificate Authority，简称CA）颁发的数字证书。它包含了证书拥有者的身份信息、公钥、私钥以及CA机构的签名，用于在互联网通讯中验证通信实体的身份和公钥的合法性。CA证书是数字签名的技术基础保障，能够证明某一实体的身份及其公钥的合法性。

自颁发证书： 自颁发证书通常是指设备根据CA证书给自己颁发的证书，证书中颁发者名称是CA服务器的名称。这种证书主要用于设备本地，实现简单的证书颁发功能，但设备不支持对其生成的自签名证书进行生命周期管理，如证书更新、证书撤销等。

自签名证书： 自签名证书是由用户自己生成和签名的证书，而不是由公认的证书颁发机构签名。自签名证书分为两种：一种是不带CA的，即用户自己生成证书并签名；另一种是带CA的，即用户自己创建了一个CA并使用该CA签名证书。自签名证书虽然免费且未经过权威机构签名，通常不受浏览器和客户端信任，但其生成过程相对简单，适用于测试环境或内部网络。

应用场景和优缺点：

CA证书： 适用于需要高安全性和信任度的场景，如电子商务网站、在线支付等。

优点是受到所有主要浏览器的信任。
缺点是需要向CA机构支付费用。

自颁发证书： 主要用于设备本地。

优点是实现简单证书颁发功能。
缺点是不支持复杂的生命周期管理。

自签名证书： 适用于测试环境、内部网络或个人开发者。

优点是免费且生成过程简单。
缺点是不受主流浏览器信任，需要手动安装才能使用。

CA证书和自签名证书的异同？

如果想要构建一个成功的网站，安全是关键因素之一，对于需要从访问者那里收集PIA（personally identifiable information，个人识别信息）的网站而言，尤其如此。
考虑一个需要输入社会保险号的网站，或更常见的，需要向其添加信用卡信息以完成购买行为的电子商务网站，在这样的网站上，安全不仅仅是来自那些访问者的期望，更是成功的关键。
如果你正在构建一个电子商务网站，首先就需要一个安全证书以便保证服务器的数据安全，对于证书的选择，即可以创建自签名证书，也可以从证书颁发机构（CA）获得由其签名的证书，让我们看看这两种证书的异同。

CA签名的证书和自签名证书的相似性

无论你的证书是由CA签名的，还是自己签名的，有一件事是完全相同的：你会得到一个安全的网站。通过HTTPS/SSL连接发送的数据将被加密，第三方无法窃听。
既然自签名证书也能做到这一点，那为何要向CA付款呢？
CA告诉你的客户：此服务器信息已由”信任源点“验证，最常用的CA是Verisign。CA会验证你的域名的所有权并颁发证书，这就能保证网站是安全而且合法的。
使用自签名证书的问题是，几乎每一个Web浏览器都会检查HTTPS连接是否由可信的CA签名，如果该连接是自签名的，则会将其标记为潜在风险并弹出错误消息，你的客户对该站点信任度就会降低。
**简要总结：**CA签名的证书兼具“身份证明”和“加密”双重功能，而由于自证身份不可信，自签名证书就只有加密功能，用于无需身份证明的场合。

在何种情况下可以使用自签名证书？

由于它们提供了相同的保护能力，所以能在任何使用CA签名证书的场合中使用自签名证书，但在某些场合特别适用自签名证书。例如，自签名证书非常适合测试HTTPS服务器，你不必仅仅为测试网站就要支付CA签名证书的费用，只需提醒测试人员他们的浏览器可能弹出警告信息。
也可以在需要输入隐私信息的情况下使用自签名证书，例如：

用户名和密码表单
收集个人（非财务）信息

当然，只有那些了解并信任你的人才会使用这样的网站。所以你看到了，归根结底就是“信任”二字。当你使用自签名证书时，你是在对客户说：“请相信我——我就是我说的我”；当你使用由CA签名的证书时，你是在说：“请相信我——因为Verisign可以证明我的身份”。
如果你在做电子商务，就需要一个CA签名证书。如果你使用自签名证书只是为了客户登录你的网站，那么他们可能会原谅你，但如果要求他们输入信用卡或Paypal的信息，那么你真的需要一个CA签名的证书，因为大多数人信任CA签名的证书，如果没有它，就不会通过HTTPS服务器做生意。所以如果你想在你的网站上卖东西，那就投资于证书吧，这只是做生意的成本。

关于PEM, DER, CRT, CER，KEY等各类证书与密钥文件后缀的解释

原文链接：一文搞懂：PEM, DER, CRT, CER, KEY等各类证书与密钥文件后缀解析

在计算机科学和安全领域，PEM, DER, CRT, CER, KEY等文件后缀经常出现在证书和密钥文件的命名中。这些后缀代表了不同的文件格式和编码方式，对于理解它们的含义和应用至关重要。本文将逐一解析这些后缀，帮助读者更好地理解和使用。

PEM（Privacy-Enhanced Mail）

PEM是一种基于ASCII编码的证书和密钥存储格式，广泛应用于安全领域，特别是在SSL/TLS协议中。PEM文件通常以“.pem”为后缀名，可以包含公钥、私钥、证书等敏感信息。PEM文件使用Base64编码，并且包含了起始标记和结束标记，以便于识别和区分不同类型的密钥和证书。由于PEM格式具有良好的可读性和可编辑性，它成为了一种广泛使用的证书和密钥文件格式。

DER（Distinguished Encoding Rules）

DER是一种二进制编码格式，用于表示X.509证书、CRL（证书吊销列表）和PKCS#7等数据结构。DER文件通常以