x509证书，SSL详解

引言

使用HTTP（超文本传输）协议访问互联网上的数据是没有经过加密的。也就是说，任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候，我们需要在网络上传输一些安全性或者私秘性的数据，譬如：包含信用卡及商品信息的电子订单。这个时候，如果仍然使用HTTP协议，势必会面临非常大的风险！相信没有人能接受自己的信用卡号在互联网上裸奔。

HTTPS（超文本传输安全）协议无疑可以有效的解决这一问题。所谓HTTPS，其实就是HTTP和SSL/TLS的组合，用以提供加密通讯及对网络服务器的身份鉴定。HTTPS的主要思想是在不安全的网络上创建一安全信道，防止黑客的窃听和攻击。

SSL（安全套接层）可以用来对Web服务器和客户端之间的数据流进行加密。

SSL利用非对称密码技术进行数据加密。加密过程中使用到两个秘钥：一个公钥和一个与之对应的私钥。使用公钥加密的数据，只能用与之对应的私钥解密；而使用私钥加密的数据，也只能用与之对应的公钥解密。因此，如果在网络上传输的消息或数据流是被服务器的私钥加密的，则只能使用与其对应的公钥解密，从而可以保证客户端与与服务器之间的数据安全。

数字证书（Certificate）

在HTTPS的传输过程中，有一个非常关键的角色——数字证书，那什么是数字证书？又有什么作用呢？

所谓数字证书，是一种用于电脑的身份识别机制。由数字证书颁发机构（CA）对使用私钥创建的签名请求文件做的签名（盖章），表示CA结构对证书持有者的认可。数字证书拥有以下几个优点：

使用数字证书能够提高用户的可信度
数字证书中的公钥，能够与服务端的私钥配对使用，实现数据传输过程中的加密和解密
在证认使用者身份期间，使用者的敏感个人数据并不会被传输至证书持有者的网络系统上
X.509证书包含三个文件：key，csr，crt。

key是服务器上的私钥文件，用于对发送给客户端数据的加密，以及对从客户端接收到数据的解密
csr是证书签名请求文件，用于提交给证书颁发机构（CA）对证书签名
crt是由证书颁发机构（CA）签名后的证书，或者是开发者自签名的证书，包含证书持有人的信息，持有人的公钥，以及签署者的签名等信息
备注：在密码学中，X.509是一个标准，规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

X.509标准

X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL（WWW万维网安全浏览的基石）在内的众多 Internet协议里，同时它也有很多非在线的应用场景，比如电子签名服务。X.509证书含有公钥和标识（主机名、组织或个人），并由证书颁发机构（CA）签名（或自签名）。对于一份经由可信的证书签发机构签名（或者可以通过其它方式验证）的证书，证书的拥有者就可以用证书及相应的私钥来创建安全的通信，以及对文档进行数字签名。

在X.509系统中，证书申请者通过发起“证书签名请求（CSR）”来得到一份被签名的证书。为此，它需要生成一个密钥对，然后用其中的私钥对CSR签名（私钥本身要妥善保存，对外保密），CSR包含申请人的身份信息、用于验真CSR的申请人的公钥，以及所请求证书的专有名称（DN），CSR还可能带有CA要求的其它有关身份证明的信息，然后CA对这个专有名称发布一份证书，并绑定一个公钥。

创建自签名证书的步骤

注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。

第1步：生成私钥

使用openssl工具生成一个RSA私钥

 $ openssl genrsa -des3 -out server.key 2048

说明：生成rsa私钥，des3算法，2048位强度，server.key是秘钥文件名。

server.key内容

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,D1B4E57FFE2AB218
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-----END RSA PRIVATE KEY-----

注意：生成私钥，需要提供一个至少4位的密码,这个密码一定要记住，后续的CSR过程需要用到

第2步：生成CSR（证书签名请求）

生成私钥之后，便可以创建csr文件了。

此时可以有两种选择。理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体操作如下：

$ openssl req -new -key server.key -out server.csr

说明需要依次输入：

国家 Country Name (2 letter code) [AU]:CN    ← 国家代号，中国输入CN
地区 State or Province Name (full name) [Some-State]:SiChuan  ← 省的全名，拼音
城市 Locality Name (eg, city) []:ChengDu    ← 市的全名，拼音
组织/公司 Organization Name (eg, company) [Internet Widgits Pty Ltd]:FengLun Corp. ← 公司英文名
组织单位 Organizational Unit Name (eg, section) []:Blockchain    ← 可以不输入
目标名称 Common Name (eg, YOUR name) []:www.glowd.cn       ←服务器主机名，若填写不正确，浏览器会报告证书无效，但并不影响使用
邮箱 Email Address []:glowd@icloud.com     ← 电子邮箱，可随意填

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入

Common Name是最重要的，它代表你的证书要代表的目标，如果你为网站申请的证书，就要添你的域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。

第3步：删除私钥中的密码

在第1步创建私钥的过程中，由于必须要指定一个密码。而这个密码会带来一个副作用，那就是在每次Apache启动Web服务器时，都会要求输入密码，这显然非常不方便。要删除私钥中的密码，操作如下：

$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

第4步：生成自签名证书

如果你不想花钱让CA签名，或者只是测试SSL的具体实现。那么，现在便可以着手生成一个自签名的证书了。

需要注意的是，在使用自签名的临时证书时，浏览器会提示证书的颁发机构是未知的。

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

说明：生产当前日期起有效期为期一年的服务器证书server.crt,crt上有证书持有人的信息，持有人的公钥，以及签署者的签名等信息。当用户安装了证书之后，便意味着信任了这份证书，同时拥有了其中的公钥。证书上会说明用途，例如服务器认证，客户端认证，或者签署其他证书。当系统收到一份新的证书的时候，证书会说明，是由谁签署的。如果这个签署者确实可以签署其他证书，并且收到证书上的签名和签署者的公钥可以对上的时候，系统就自动信任新的证书。

第5步：安装私钥和证书

将私钥和证书文件复制到Apache的配置目录下即可。

第6步. 创建客户端证书密钥文件client.key

openssl genrsa -des3 -out client.key 2048

说明：生成rsa私钥，des3算法，2048位强度，client.key是秘钥文件名

Enter pass phrase for client.key: ← 输入一个新密码
Verifying – Enter pass phrase for client.key: ← 重新输入一遍密码

第7步. 创建客户端证书的申请文件client.csr：

openssl req -new -key client.key -out client.csr

输出内容为：

[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 输入上一步中创建的密码

Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:Sichuan ← 省名称，拼音
Locality Name (eg, city) []:ChengDu ← 市名称，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FengLun Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Glowd ← 自己的英文名，可以随便填
Email Address []:glowd@icloud.com ← 电子邮箱，可以随便填

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填

9. 使用server的证书创建一个自当前日期起有效期为一年的客户端证书client.crt：

$ openssl x509 -req -days 365 -sha1 -extensions v3_req -CA server.crt -CAkey server.key -CAserial server.srl -CAcreateserial -in client.csr -out client.crt

Signature ok
subject=/C=CN/ST=SiChuan/L=ChengDu/O=FengLun Corp./CN=Glowd/emailAddress=glowd@icloud.com
Getting CA Private Key

10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx：

$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 输入上面创建的密码
Enter Export Password: ← 输入一个新的密码，用作客户端证书的保护密码，在客户端安装证书时需要输入此密码
Verifying – Enter Export Password: ← 确认密码

11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL（refer）时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件

.crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）