快速了解安全通讯中的非对称RSA,ECC及CA证书和机构的作用,附SSL,TLS等基础概念配置啦

475 890

国际:美国的verisign公司,加拿大的ENTRUST公司

国内:在金融CA方面,根证书由中国人民银行管理,非金融CA方面,由中国电信负责

虽然证书编码格式有2种,但是扩展名有很多:

扩展名说明.der用于DER编码的证书.pem它是基于X.509标准生成的,它是以"-----BEGINCERTIFICATE-----"和"-----ENDCERTIFICATE-----"开头和结尾且用Base64编码的证书.crt这种扩展名的证书可以是DER编码也可以是PEM编码,在Unix系统中常见。.cer微软系统常见,在微软系统中可以将.crt转换为.cer。同样可以是DER编码也可以是PEM编码。.key用于存储公钥和私钥,同样可以使用DER或者PEM编码。.csr这个不是证书文件,而是证书签名请求文件,向CA申请获得签名证书时需要提供的申请文件。[注]

CSR(CertificateSignRequest)、公钥、密钥和证书归属为一类。CSR用来获取证书,包含申请人的公钥、邮件等证明身份的信息。证书颁发机构(可以是自己)收到CSR后签发证书,生成的证书中包含公钥、有效期、持有人等信息。私钥可单独生成,也可在生成CSR的同时生成。整个过程中,私钥应当都要被妥善保管,不能泄露。

keystore、PEM、cer/crt、key等文件存储格式可归为一类。JavaKeyStore(文件后缀.keystore或.jks)是Java常用的存储密钥和证书的文件格式,需要设置文件密码、别名和别名密码,安卓打包和部署Tomcat时会用到;PEM(PrivacyEnhancedMail)以文本形式存放私钥和证书(链);cer/crt和key分别用来存放证书和密钥;另外一种常见的格式是pfx和p12,同jks格式,这类文件一般是二进制,访问需要密码。

PKI(Publickeyinfrastructure)体系构建在公钥加密基础之上,主要解决证书的颁发和管理问题。证书管理中应用广泛的两个标准是X509和PKCS。遵循X509标准的证书文件结尾多为PEM、der、crt等;遵循PKCS标准的证书常用后缀名是pfx、p12等。

本次对接晕乎的第二个地方是一处地方读取密钥需要密码,另一处直接读取。根据存储格式可知原因:访问遵循PKCS#12标准的pfx文件需要密码,遵循X509规范的PEM文件则可直接查看内容。

[注]

SSL/TLS提供的服务主要有:

1、身份认证,确保消息发送双方身份的真实性。

2、加密传输,消息以密文传递,防止中途被窃取。

3、数据校验,确保消息在传输途中不会被篡改。

#先生成csr和私钥

#注意使用-nodes选项,否则私钥会有密码,用在nginx启动时需要手动输入

opensslreq-new-outtlanyan.csr-newkeyrsa:2048-nodes-keyouttlanyan.priv.key

#接下来的交互里填入一些基本信息,完毕后会生成tlanyan.csr和tlanyan.priv.key两个文件

#csr的格式如下:

#-----BEGINCERTIFICATEREQUEST-----

#xxxx

#-----ENDCERTIFICATEREQUEST-----

#密钥文件的格式类似

#有了csr,接下来为自己签发证书

opensslreq-x509-sha256-nodes-days365-intlanyan.csr-keytlanyan.priv.key-outtlanyan.crt

#命令结束后,目录中出现tlanyan.crt的证书文件

#校验密钥

opensslrsa-intlanyan.priv.key--check

#校验csr

opensslreq-intlanyan.csr-verify

#校验证书

opensslx509-intlany.**crt-text-n**ooutPEM

转换各种不同格式的证书:

#将pem格式转换成pfx/p12格式

opensslpkcs12-export-outtlanyan.pfx-inkeytlanyan.priv.key-intlaPEMn.crt

#将pfx格式转换成pem格式

opensslpkcs12-intlanyan.pfx-outtlanyan.cer-nodes

#生成的tlanyan.cer文件包含了证书和公钥,对应导入前的tlanyan.crt和tnPEM.priv.key两个文件

pem和jks的格式转换太过复杂,具体请看Oracle的文档。

F2)自签名证书如何添加和安装.

自签名证书的如何生成、安装?有时候,我们在内部系统传输数据需要使用SSL协议,对数据加密,但是我们又不想花钱去申请CA,这个时候可以使用自签名CA,实现数据加密传输的功能。首先要明确一点就是自签名证书是不安全的,存在安全漏洞,具体看下面的博文介绍:

自签名证书使用jdk中的keytool生成即可,看似神秘,但实际上比较简单,见下博文:

自签名证书的安装也很简单,见下博文:

在java编程中,使用socket网络编程,实现SSL协议,对服务器的证书需要导入到客户端的秘钥库中,这样才能完成自动认证,具体实现见下博文:

THE END

快速了解安全通讯中的非对称RSA,ECC及CA证书和机构的作用,附SSL,TLS等基础概念配置啦

https的简单介绍及SSL证书的生成

什么是自签名证书?自签名SSL证书的优缺点?

HTTPSHTTPTLS/SSL工作及握手原理PKI/CA密钥体系

根证书与数字CA证书是什么?它们具体有什么用?知识库

CA证书自颁发证书自签名证书联系KylinZhuang

自定义证书配置SSL链路加密云数据库RDS(RDS)

一个一键即可生成SSL证书的工具,零配置,从此告别繁琐,Star46K!

01SSLVPN配置新华三集团

1.区块链技术中的证书类型详解:从数字证书到智数字证书主要依靠公钥基础设施(PKI)来实现,其工作原理大致如下:首先,用户会生成一对公钥和私钥;接着,将公钥通过数字证书的形式提交给数字证书颁发机构(CA)。CA会对用户的身份进行验证,并将公钥与用户的身份信息绑定,通过CA的数字签名,证书便生成了。 在区块链中,数字证书不仅确保数据的安全性,还能很好地实现去中心化http://ruiwu-medical.com/shuziquan/7802.html
2.什么是自签名证书?自签名证书和ca证书区别有哪些?聚名资讯自签名证书和ca证书区别有哪些? 自签名证书是由网站管理员或个人自行创建和签名的数字证书,用于加密网站与用户之间的通信。自签名证书没有经过第三方证书颁发机构(CA)的验证和认证,因此在信任度上与由受信任的 CA 颁发的证书存在区别。 两者的区别: 1. 验证和信任:https://www.juming.com/zx/20305.html
3.自签名证书和CA机构颁发的证书的区别文章浏览阅读7.1k次。自己生成的SSL证书也叫自签名SSL证书,签发很随意,任何人都可以签发,容易被黑客仿冒利用,不是由正规的CA机构颁发的,所以不受浏览器的信任。而付费的SSL证书,是由受信任的CA机构颁发的,申请时会对域名所有权和企业相关信息进行验证,安全级别是比https://blog.csdn.net/jakejohn/article/details/104644213
4.CA证书与自签名证书的异同51CTO博客如果你正在构建一个电子商务网站,首先就需要一个安全证书以便保证服务器的数据安全,对于证书的选择,即可以创建自签名证书,也可以从证书颁发机构(CA)获得由其签名的证书,让我们看看这两种证书的异同。 CA签名的证书和自签名证书的相似性 无论你的证书是由CA签名的,还是自己签名的,有一件事完全相同:你会得到一个安全https://blog.51cto.com/u_9843231/2464806
5.自签名SSL证书和CA机构颁发的证书有什么区别?有许多重要的公网可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。主要问题有: 1、自签证书最容易被假冒和伪造,而被欺诈网站所利用; https://www.wosign.com/faq/faq2020061601.htm
6.自己制作ssl证书和购买的ssl证书区别之处在哪里?SSL证书就是遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。自己制作的ssl证书也叫自签名证书,是由创建它的人签署的证书,而不是由受信任的证书机构签发的证书。那么下面就由新网小编和大家讲一讲自己制作ssl证书和购买的ssl证书区别之处在哪里?https://www.xinnet.com/knowledge/2142333845.html
7.使用自定义根CA生成自签名证书创建根 CA 证书 使用OpenSSL 创建根 CA 证书。 创建根密钥 登录到安装了 OpenSSL 的计算机并运行以下命令。 这会创建加密密钥。 openssl ecparam -out contoso.key -name prime256v1 -genkey 创建根证书并进行自签名 使用以下命令生成证书签名请求 (CSR)。 https://docs.microsoft.com/zh-cn/azure/application-gateway/self-signed-certificates/
8.ssl证书和ca证书区别ca证书和ssl证书之间的关系在网络安全领域,SSL证书和CA证书是两个非常重要的概念,它们都是为了确保网络通信的安全和可靠而设计的,尽管它们都是用于保护网络通信的,但它们的作用和功能是不同的,本文将详细介绍SSL证书和CA证书的区别,以及它们之间的关系。 我们来看看SSL证书,SSL(Secure Sockets Layer)是一种网络安全协议,它的目的是在客户端和https://www.kdun.com/ask/598041.html
9.使用openssl实现私有CA的搭建和证书的颁发相关技巧根CA:根CA用于管理下级CA,子CA向根CA获取授权,使得它能给用户颁发证书。 Cert:证书 证书:CA对用户公钥进行签名后形成的一个文件。 证书的来源: 自签名证书 CA机构颁发的证书 CA机构颁发的证书流程: 用户生成证书请求文件:.csr 将证书请求文件发送给CA CA进行签名并颁发证书 CSR是英文Certificate Signing Request的https://www.jb51.net/article/265122.htm
10.自签名证书:带CA与不带CA的区别及如何选择自签名证书是指由用户自己生成和签名的证书,而不是由公认的证书颁发机构(如VeriSign或Let’s Encrypt)签名的证书。 自签名证书是免费的,但通常不受浏览器和其他客户端的信任。 二、带CA与不带CA的自签名证书区别 2.1 定义和结构 带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使https://www.bunian.cn/16783.html
11.怎么判断SSL证书是自签名还是由正规的CA机构颁发SSL证书可以是自签名,也可以是由正规的CA机构颁发,两者之间还是有很大的差别的。自签名SSL证书虽然是免费的,但是不受任何市场监督,也不受各大浏览器的信任,签发自由,容易遭受钓鱼网站仿冒,缺点太多了,非常不安全。而由正规的CA机构颁发的SSL证书就没有以上缺点,能保护网站的基本安全,花费一定的成本申请就可以了。 https://www.anxinssl.com/11382.html
12.基于CA签名证书的语音GW和CUCM之间通过IPsec的安全MGCP通信配置本文档介绍如何根据证书颁发机构(CA)签名的证书,通过互联网协议安全(IPsec)成功保护语音网关(GW)和CUCM(思科统一通信管理器)之间的媒体网关控制协议(MGCP)信令。为了通过MGCP建立安全呼叫,需要单独保护信令和实时传输协议(RTP)流。设置加密RTP流似乎记录得当且非常简单,但安全RTP流不包括安全MGChttps://www.cisco.com/c/zh_cn/support/docs/unified-communications/unified-communications-manager-callmanager/118886-config-mgcp-00.html
13.ssl证书格式转换工具猜你喜欢:ssl证书格式转换工具默认下载的证书文件,默认生成的证书文件,即全部匹配。以下示例均使用:如果使用创建自签名证书工具生成的证书文件,可不用关注执行以下步骤生成CA证书私钥文件。使用PuTTY工具生成公私钥对,并创建证书。生成CSR文件并导入CSR文件。在“Web服务端证书”页面中单击“生成CSR文件”。仅支持字母(如https://www.huaweicloud.com/zhishi/edits-17544992.html
14.编程gsp证书是什么?Worktile社区了解证书格式和要求:不同的证书格式和要求可能有所不同,例如X.509证书、OpenSSL证书等。在开始之前,需要了解所需证书的具体格式要求。 准备证书签发机构(Certificate Authority,简称CA):CA负责签发证书并验证证书申请者的身份。可以选择使用自签名证书或购买从可信的CA颁发的证书。购买CA颁发的证书需要提供身份验证材料。https://worktile.com/kb/ask/1979845.html
15.CA证书本地证书和自签名证书的区别?自签名证书又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。 申请者无法向CA申请本地证书时,可以通过设备生成自签名证书,可以实现简单证书颁发功能。 设备不支持对其生成的自签名证书进行生命周期管理(如证书更新、证书撤销等)。 CA证书 https://support.huawei.com/enterprise/zh/doc/EDOC1000051014/b507ca81