云服务器(五).nginx4.CA证书的签发流程详情

最新推荐文章于 2023-10-20 19:07:23 发布
最新推荐文章于 2023-10-20 19:07:23 发布
阅读量217 收藏
点赞数
分类专栏: # nginx 文章标签: https ssl http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiguang_820/article/details/124948430
版权

也可以说是https传输流程(加密方式、证书、传输安全)

目录:

  1. CA证书的签发流程:CA证书的签发流程详情_燚湫的博客-CSDN博客_ca颁发证书
    1. 需要明白证书包含了哪些内容
  2. https传输流程:https传输流程(加密方式、证书、传输安全)_短暂又灿烂的的博客-CSDN博客_https传输
    上述整个流程是前面通信用的是证书的公私钥的非对称加密,后面数据传输用的秘钥是随机的对称加密的秘钥

问题:

  1. https传输过程中中间人能否篡改证书的公钥和证书签名?
    由于每个CA公钥是公开的,所以中间人也有,能够揭秘获取到服务器公钥和证书签名,中间人如果想修改这两个数据,则需要用中间人自己的私钥进行加密,但是client会用CA公钥解密,自然是解不开的,所以无法篡改。

  2. 中间人能否篡改证书的域名?
    验证签名的过程会出错,因为client需要将域名、 CA公钥、 自己公钥用hash算法生成一个签名,再和证书上的签名对比,此时发现不一致,则说明域名、 CA公钥、 自己公钥被篡改过了。

  3. 中间人能否在client请求证书时就拦截,并返回一个中间人自己的证书?
    其实是可以的,但需要得到client的同意,信任此证书才行。这也是抓包工具可以截取到https传输过程中数据的原因。但也会有第三方利用这一点,出现个弹窗诱导用户点击,就可以给client植入“木马病毒”,这样就能获取和篡改client和server的数据。

  4. 为什么 https 不直接使用服务端的公钥对数据信息进行加密,而是使用公钥先对密钥加密,之后再用密钥对数据信息加密的方式呢?
    我们知道 https 采用的是非对称密钥和对称密钥混合加密机制,若仅仅使用非对称加密,即仅仅使用服务端提供的公钥来加密可行吗,理论上同样也可以,但是不好,其处理速度比对称密钥要慢很多,网上统计是对称加密算法比非对称加密算法快大约1500倍。所以这下就清楚了,在请求服务器的最开始阶段,我们通过非常安全的非对称密钥技术,服务端将公钥交给浏览器(里头涉及数字证书以及公钥进行解密的过程),这一步其实挺慢的,但是好在只用在开头执行一次,之后如果依旧使用这个公钥对数据信息加密和服务器私钥对数据信息解密,这就太慢了,所以后序我们使用更加快速的对称密钥技术,用公钥对密钥加密给服务端,即使中间人截取了数据,由于没有私钥所以也没法对工要加密的数据进行解密,这样就保证了对称密钥的安全性,因此也就可以保证以后传输数据信息使用对称密钥加密不怕被窃取

 

yigg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互联网协议 — TLS — 安全四要素
烟云的计算
11-17 5928
目录 文章目录目录CA 认证原理浅析基本概念PKICA 认证中心(证书签发)X.509 标准证书证书签发过程自建 CA 签发证书并认证 HTTPS 网站的过程使用 OpenSSL 自建 CA签发证书 CA 认证原理浅析 下面给出一个形象的例子来理解 CA 认证的原理与兴起的缘由。 普通的介绍信: ​ 假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,...
CA证书签发流程详情
m0_61979385的博客
12-17 1万+
一,什么是CA证书: CA证书是电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA证书一般用于HTTPS服务中的SSL或TSL协议中,是一种确保服务器或客户端的合法性的一种证书 二,CA证书签发流程: CA证书签发流程一般可以分为六步,分别是 1.申请认证 , 2.审核信息, 3.签发证书 ...
基于OpenSSLCA建立及证书签发签发多域名/IP)
hobby云说
06-09 3796
自签SSL证书(多域名/IP) 本文基于以下环境: 内核信息:Linux zabbix 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 系统版本:CentOS Linux release 7.6.1810 (Core) OpenSSL版本:OpenSSL 1.0.2k-fips 26 Jan 2017 【前言】 在基于OpenSSLCA建立及证书签发一文中(后面统.
openssl证书签发流程详解
魏志标的博客
06-13 3981
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表)计算消息摘要使用各种 Cipher加密/解密SSL/TLS 客户端以及服务器的测试处理S/MIME 或者加密邮件数字证书标准X.509版本号。
关于ca以及证书颁发的一些事
Z.X的博客
12-16 425
2021年12月16日08:35:38 一些基础知识 SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。 HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HT...
数字证书实战经验——自建CA中心签发证书
JunyeeJunZuo的博客
10-13 793
采用标准等openssl工程目录结构,openssl自建证书通常需要两种配置文件,可通过cnf配置文件修改证书签发的配置项。root ca的cnf配置文件中间证书的cnf配置文件(intermediate ca cnf)+ root-ca- certs -- 公钥生成目录- crl -- 证书吊销目录- csr -- 证书签发请求文件目录- db -- 证书数据库- newcerts -- openssl生成的临时证书目录- private -- 私钥目录。
https证书(nginx、tomcat均可用).zip
03-16
- **ca.cer**和**ca.crt**:两者都是证书的ASCII格式表示,通常包含证书颁发机构的公钥信息,用于验证服务器证书签发者。 - **ca.key**:这是CA的私钥,用于签署其他证书,但在这个场景下可能不是必需的,因为...
Nginx配置SSL自签名证书的方法
09-30
4. **自签发证书**:使用`openssl x509`命令,结合之前生成的CSR和私钥,自签发一个有效期为365天的证书,`openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt`。 接下来,我们需要...
test-com-nginx-0613144859.zip
06-13
自签名证书意味着证书不是由知名的公共CA签发的,而是由证书持有者自己签发。虽然这节省了购买商业证书的费用,但自签名证书不受浏览器的信任,用户在访问时可能会看到警告。然而,对于内部网络或测试环境,自签名...
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书
09-30
在现代网络环境中,HTTPS协议已经成为网站安全的...然而,自签名证书通常不被浏览器信任,可能会显示警告,而第三方CA签发证书则会被广泛认可,提供更好的用户体验。在生产环境中,推荐使用受信任的CA签发SSL证书
nginxserver_crt.rar
08-26
标题 "nginxserver_crt.rar" 暗示了这是一个与Nginx服务器配置相关的压缩包,其中包含了SSL/TLS证书的两个关键文件:`server.crt`和`server.key`。Nginx是一款高性能的Web服务器,常用于反向代理、负载均衡以及静态...
【PKI】【CA】【证书签发
weixin_45734052的博客
03-19 1634
PKI/CA证书签发
数字证书原理[转载]
weixin_30343157的博客
09-26 3326
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 ...
OpenSSL命令大全,CA证书生成,客户端证书生成实例
热门推荐
程序员精进之路
09-29 2万+
1.X509证书链 x509证书一般会用到三类文件,key,csr,crt。 Key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 2.openssl文件说明 ....
数字签名过程及数字证书
mmdnxh的博客
09-23 1万+
数字签名是什么? 作者:David Youd 翻译:阮一峰 原文网址:http://www.youdzone.com/signature.html 1. 鲍勃有两把钥匙,一把是公钥,另一把是私钥。 2. 鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。 3. 苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。 4. 鲍勃收信后
OpenSSL 密码库实现证书签发流程详解
最新发布
zhuguanlin121的博客
10-20 988
基础理论 openssl简介 对称加密和非对称加密 生成证书流程原理 CA签发流程 openssl基础操作
Network 之九 对称加密、非对称加密、HASH、CA 证书签发及使用流程
技术干货
10-03 1354
密码学(Cryptography)可分为古典密码学和现代密码学。古典密码学主要关注信息的保密书写和传递,以及与其相对应的破译方法。而现代密码学不只关注信息保密问题,还同时涉及信息完整性验证(消息验证码)、信息发布的不可抵赖性(数字签名)、以及在分布式计算中产生的来源于内部和外部的攻击的所有信息安全问题。
模拟CA证书签发的过程
elef的博客
08-18 469
模拟CA证书签发的过程
CA证书签发与认证
buran的博客
03-19 1794
【实验目的及要求】 实验目的: 学会签发CA证书,使用根CA证书签发下级证书。 实验要求: 利用OpenSSL提供的命令行工具实现: 生成根CA密钥对、生成自签名的根CA证书; 生成普通个人用户的密钥对,并生成证书请求; 以CA管理员的角色,给上一步生成的证书请求签发个人证书。 【实验环境】 Linux 内核2.6及以上,安装有OpenSSL。 【实验过程】 1)环境准备 1、首先检查系统是否安装openssl,命令行中输入命令 openssl version 如图在命令行中,输出了OpenSSL
ssh 192.168.1.24服务器 nginx SSL 证书安装部署步骤
07-13
打开Nginx的配置文件(通常是在`/etc/nginx/nginx.conf`或`/etc/nginx/conf.d/default.conf`中),并进行以下配置更改: - 在`http`块中,添加一个新的`server`块来定义HTTPS服务器: ``` server { listen 443...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值