//單純使用公私鑰進行加解密,會存在公鑰被替換偽造的風險,無法判斷公鑰是否屬於服務提供商。
//所以,公鑰需要通過CA機構的認證。
//CA機構用自己的私鑰,對服務提供商的相關信息及公鑰進行加密生成數字證書。
//在進行安全連接的時候,服務提供商將證書一同發給用戶。
//用戶收到證書后,從他的CA認證機構下載證書/公鑰,驗證服務提供商證書的合法性。
//最后,從證書中提取服務商提供的公鑰,加、解密信息進行通信。
名詞解釋:
CA: Certificate Authority,證書中心/證書授權中心/電子認證服務機構,負責管理和簽發證書的,受公眾信任足夠權威的第三方機構,檢查證書持有者身份的合法性,並簽發證書,以防證書被偽造或篡改。
CA證書: CA頒發的證書, 或數字證書,包含證書擁有者的身份信息,CA機構簽名,公鑰等。
證書編碼:
DER編碼,二進制DER編碼。
PEM編碼,用於ASCII(BASE64)編碼,文件由 "-----BEGIN"開始,"-----END"結束。
證書文件后綴:
.pem(openssl默認,PEM編碼的文件) .crt(Unix/Linux,DER或PEM編碼都可以) .cer(windows,二進制) .der(二進制)
秘鑰文件:
.key
服務器證書申請文件/證書簽名請求文件:
.req .csr
使用openssl模擬秘鑰證書的生成過程:
openssl x509工具主要用於輸出證書信息, 簽署證書請求文件、自簽署、轉換證書格式等。它就像是一個完整的小型的CA工具箱。
1.運營商私鑰:
模擬生成運營商的私鑰:
1.1.需要經常輸入密碼:
openssl genrsa -des3 -out server_private.key 2048 會有輸入密碼的要求
1.2.去除密碼:
openssl rsa -in server_private.key -out server_private.key
1.3.無密碼證書秘鑰:
openssl genrsa -out server_private.key 2048
//1.4.生成公鑰:
//openssl rsa -in server_private.key -pubout -out server_public.key
2.運營商向CA申請證書文件:
模擬生成運營商 證書申請文件/證書簽名請求文件 .req:
2.1.openssl req -new -key server_private.key -out server.req
會讓輸入Country Name 填 CN; Common Name 填 ip 也可以不填。
#查看server.req
2.2.openssl req -in server.req -text
3.CA機構要有自己的私鑰,為運營商簽發證書:
生成CA私鑰:
3.1.openssl genrsa -out ca_private.key 2048
4.CA機構 也要向 更高級的CA機構 申請證書, 有了自己的證書 才能為運營商簽發證書:
生成 CA證書申請文件/證書簽名請求文件 .req:
4.1.openssl req -new -key ca_private.key -out ca_request.req
#查看ca_request.req
4.2.openssl req -in ca_request.req -text
5.CA機構獲得證書:
創建CA證書,用來給運營商的證書簽名。
這個證書,本來應由更高級的CA用它的private key對這個證書請求進行簽發,
由於此時模擬的CA是 root CA,沒有更高級的CA了,所以要進行自簽發,用 自己的private key對 自己的證書請求 進行簽發。
5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem
#查看證書
5.2.openssl x509 -in ca.pem -noout -text
6.CA機構向運營商簽發證書:
CA用自己的CA證書ca.pem 和 私鑰ca_private.key 為 server.req運營商請求文件簽名,生成運營商的證書:
6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem
#查看證書
6.2.openssl x509 -in server.pem -noout -text
#查看公鑰
6.3.openssl x509 -in server.pem -noout -pubkey
#####################################################################################################################
7.查看服務器證書的modulus和服務器私鑰的modulus,應該一樣:
7.1.openssl x509 -in server.pem -noout -modulus
7.2.openssl rsa -in server_private.key -noout -modulus
8.用戶訪問https網站,服務器會用private key加密數據傳輸,同時會把證書傳給用戶,里面有public key信息,用於解密數據。
用戶使用公鑰解密的時候,要確認此公鑰是否是服務商的,是否是受信任的。
用戶從服務商證書中發現,其證書是由某CA簽發的,從CA官網下載他的證書,發現它由 更高級CA簽發 或者 是root證書,自簽發的。
這時就可以一級一級的驗證證書的合法性,最終確認服務商的證書是否被信任。
驗證后就可以使用公鑰解密信息,進行通信。
openssl verify -CAfile ca.pem server.pem
9. ls 出現以下文件:
ca.pem ca_private.key ca_request.req ca.srl server.pem server_private.key server.req
10.從證書導出公鑰:
openssl x509 -in server.pem -noout -pubkey -out server_public.key
11.使用公鑰加密,私鑰解密:
openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt
openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt
12.不想瀏覽器發出警告,就導入ca.pem文件:
13.查看證書內容:
13.1.打印出證書的內容:openssl x509 -in server.pem -noout -text
13.2.打印出證書的系列號:openssl x509 -in server.pem -noout -serial
13.3.打印出證書的擁有者名字:openssl x509 -in server.pem -noout -subject
13.4.以RFC2253規定的格式打印出證書的擁有者名字:openssl x509 -in server.pem -noout -subject -nameopt RFC2253
13.5.打印出證書的MD5特征參數:openssl x509 -in server.pem -noout -fingerprint
13.6.打印出證書有效期:openssl x509 -in server.pem -noout -dates
13.7.打印出證書公鑰:openssl x509 -in server.pem -noout -pubkey
13.7.驗證證書的有效性:openssl verify -CAfile ca.pem server.pem
14.證書秘鑰要使用相同的編碼格式
15.證書格式轉換:
PEM轉DER格式:openssl x509 -inform pem -in server.pem -outform der -out server.der
DER轉PEM格式:openssl x509 -inform der -in server.der -outform pem -out server.pem0
16.錯誤:
16.1. Common Name 最好是有效根域名(如 zeali.net ), 並且不能和后來服務器證書簽署請求文件中填寫的 Common Name 完全一樣,否則會導致證書生成的時候出現 error 18 at 0 depth lookup:self signed certificate 錯誤