//单纯使用公私钥举行加解密，会存在公钥被替换伪造的风险，无法判断公钥是否属于服务提供商。

//以是，公钥需要通过CA机构的认证。

//CA机构用自己的私钥，对服务提供商的相关信息及公钥举行加密天生数字证书。

//在举行平安毗邻的时刻，服务提供商将证书一同发给用户。

//用户收到证书后，从他的CA认证机构下载证书/公钥，验证服务提供商证书的合法性。

//最后，从证书中提取服务商提供的公钥，加、解密信息举行通讯。

 

名词解释：

    CA: Certificate Authority，证书中央/证书授权中央/电子认证服务机构，卖力治理和签发证书的，受民众信托足够权威的第三方机构，检查证书持有者身份的合法性，并签发证书，以防证书被伪造或窜改。

    CA证书: CA发表的证书, 或数字证书，包罗证书拥有者的身份信息，CA机构署名，公钥等。

   

证书编码：

    DER编码，二进制DER编码。

    PEM编码，用于ASCII(BASE64)编码，文件由 "-----BEGIN"最先，"-----END"竣事。

 

证书文件后缀：

    .pem(openssl默认，PEM编码的文件) .crt(Unix/Linux，DER或PEM编码都可以) .cer(windows，二进制)  .der(二进制)

 

秘钥文件：

    .key

 

服务器证书申请文件/证书署名请求文件：

    .req  .csr

 

使用openssl模拟秘钥证书的天生历程:

  openssl x509工具主要用于输出证书信息, 签署证书请求文件、自签署、转换证书花样等。它就像是一个完整的小型的CA工具箱。

  1.天生服务器私钥:

      1.1.需要经常输入密码：

      openssl genrsa -des3 -out server_private.key 2048 会有输入密码的要求

      1.2.去除密码：

      openssl rsa -in server_private.key -out server_private.key

      1.3.无密码证书秘钥：

      openssl genrsa -out server_private.key 2048

    //1.4.天生公钥:

    //openssl rsa -in server_private.key -pubout -out server_public.key

 

  2.天生 服务器证书申请文件/证书署名请求文件 .req:

      2.1.openssl req -new -key server_private.key -out server.req

      会让输入Country Name 填 CN; Common Name 填 ip 也可以不填。

      #查看server.req

      2.2.openssl req -in server.req -text

 

  3.天生CA私钥：

      3.1.openssl genrsa -out ca_private.key 2048

 

  4.天生 CA证书申请文件/证书署名请求文件 .req:

      4.1.openssl req -new -key ca_private.key  -out ca_request.req

      #查看ca_request.req

      4.2.openssl req -in ca_request.req -text

 

  5.建立CA证书，用来给服务器的证书署名:(这个证书请求原本应由更高级的CA用它的private key对这个证书请求举行签发，由于此时模拟的CA是 root CA，没有更高级的CA了，以是要举行自签发，用 自己的private key 对 自己的证书请求 举行签发。)

      5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem

      #查看证书

      5.2.openssl x509 -in ca.pem -noout -text

使用Spring管理数据库事务

 

  6.CA用自己的CA证书ca.pem 和 私钥ca_private.key 为 server.req 文件署名，天生服务器证书，：

      6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem

      #查看证书

      6.2.openssl x509 -in server.pem -noout -text

      #查看公钥

      6.3.openssl x509 -in server.pem -noout -pubkey

 

  7.查看服务器证书的modulus和服务器私钥的modulus，应该一样：

      7.1.openssl x509 -in server.pem -noout -modulus

      7.2.openssl rsa -in server_private.key -noout -modulus

 

  8.用户接见https网站，服务器会用private key加密数据传输，同时会把证书传给用户，内里有public key信息，用于解密数据。

    用户使用公钥秘密的时刻，要确认此公钥是否是服务商的，是否是受信托的。

    用户从服务商证书中发现，其证书是由某CA签发的，从CA官网下载他的证书，发现它由 更高级CA签发 或者 是root证书，自签发的。

    这时就可以一级一级的验证证书的合法性，最终确认服务商的证书是否被信托。

    验证后就可以使用公钥解密信息，举行通讯。

    openssl verify -CAfile ca.pem server.pem

 

  9. ls 泛起以下文件：

      ca.pem  ca_private.key  ca_request.req  ca.srl  server.pem  server_private.key  server.req

 

  10.从证书导出公钥:

      openssl x509 -in server.pem -noout -pubkey -out server_public.key

 

  11.使用公钥加密，私钥解密:

      openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt

      openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt

 

  12.不想浏览器发出忠告，就导入ca.pem文件:

 

  13.查看证书内容：

      13.1.打印出证书的内容：openssl x509 -in server.pem -noout -text

      13.2.打印出证书的系列号：openssl x509 -in server.pem -noout -serial

      13.3.打印出证书的拥有者名字：openssl x509 -in server.pem -noout -subject

      13.4.以RFC2253划定的花样打印出证书的拥有者名字：openssl x509 -in server.pem -noout -subject -nameopt RFC2253

      13.5.打印出证书的MD5特征参数：openssl x509 -in server.pem -noout -fingerprint

      13.6.打印出证书有效期：openssl x509 -in server.pem -noout -dates

      13.7.打印出证书公钥：openssl x509 -in server.pem -noout -pubkey

 

  14.证书秘钥要使用相同的编码花样

 

  15.证书花样转换:

    PEM转DER花样：openssl x509 -inform pem -in server.pem -outform der -out server.der

 

    DER转PEM花样：openssl x509 -inform der -in server.der -outform pem -out server.pem0

 

,

诚信在线

诚信在线www.9cx.net用诚信赢得信任、用服务赢得口碑、用技术赢得赞赏。新的一年到来,诚信在线将一如既往地服务好每位客户。

Allbet Gaming声明:该文看法仅代表作者自己，与阳光在线无关。转载请注明：热点问题：一文读懂什么是CA证书