iis有創建域證書和創建自簽名證書,以下是分別
還有關於被受信任的頒發機構證書,那個是要錢買的,沒法做個人實驗,這里不做詳解,由於配置remoteapp的時候,remotedesk可以進行證書簽名,猜測這類公認證書是否可以對其他證書進行簽名,話說這些公認機構賣的證書幾乎是壟斷啊,什么都不干就可以隨隨便便的錢,有點小羡慕
簽名證書:由權威頒發機構頒發給服務器或者個人用於證明自己身份的東西,默認客戶端都是信任的。主要目的是用來加密和保證數據的完整性和不可抵賴性
自簽名證書:由服務器自己頒發給自己,用於證明自己身份的東西,非權威頒發機構發布,默認客戶端都是不信任的,主要目的是用來加密和保證數據的完整性和不可抵賴性,與簽名證書相同.
自簽名的證書無法被吊銷,CA簽名的證書可以被吊銷 能不能吊銷證書的區別在於,如果你的私鑰被黑客獲取,如果證書不能被吊銷,則黑客可以偽裝成你與用戶進行通信
如果你的規划需要創建多個證書,那么使用私有CA的方法比較合適,因為只要給所有的客戶端都安裝了CA的證書,那么以該證書簽名過的證書,客戶端都是信任的,也就是安裝一次就夠了
如果你直接用自簽名證書,你需要給所有的客戶端安裝該證書才會被信任,如果你需要第二個證書,則還的挨個給所有的客戶端安裝證書2才會被信任。
證書類型:
x509的證書編碼格式有兩種
1.PEM(
Privacy-enhanced Electronic Mail) 是明文格式的 以 -----BEGIN CERTIFICATE-----開頭,已-----END CERTIFICATE-----結尾,中間是經過base64編碼的內容,apache需要的證書就是這類編碼的證書 查看這類證書的信息的命令為 :openssl x509 -noout -text -in server.pem
其實PEM就是把DER的內容進行了一次base64編碼
2.DER 是二進制格式的證書 查看這類證書的信息的命令為 :openssl x509 -noout -text -inform der -in server.der
擴展名:
.crt 證書文件 ,可以是DER(二進制)編碼的,也可以是PEM( ASCII (Base64) )編碼的 ,在類unix系統中比較常見
.cer 也是證書 常見於Windows系統 編碼類型同樣可以是DER或者PEM的,windows 下有工具可以轉換crt到cer
.csr 證書簽名請求 一般是生成請求以后發送給CA,然后CA會給你簽名並發回證書
.key 一般公鑰或者密鑰都會用這種擴展名,可以是DER編碼的或者是PEM編碼的 查看DER編碼的(公鑰或者密鑰)的文件的命令為 openssl rsa -inform DER -noout -text -in xxx.key 查看PEM編碼的(公鑰或者密鑰)的文件的命令為 openssl rsa -inform PEM -noout -text -in xxx.key
.p12 證書 包含一個X509證書和一個被密碼保護的私鑰
easy-rsa的特點是 使用方便不需要記憶大量的命令 而且配置文件里面有各種信息可以使你生成帶有擴展信息的簽名 比如 CA:TRUE等信息