城乡建设学校官方网站,wordpress采集英文,网站模板 实验室,源码网站怎么搭建CA#xff08;Certificate Authority#xff09;#xff1a;即数字证书颁发认证机构。 CA数字证书#xff08;crt/cer证书#xff09;#xff1a;数字证书 申请者与颁发者信息申请者公钥颁发者签名#xff0c;由CA机构使用私钥签名得到数字证书。 CA中间证书#xff1…CACertificate Authority即数字证书颁发认证机构。 CA数字证书crt/cer证书数字证书 申请者与颁发者信息申请者公钥颁发者签名由CA机构使用私钥签名得到数字证书。 CA中间证书如果使用CA根证书直接签发SSL证书如果发生了错误或者说要取消掉root那么用这个根证书签名的所有证书都将变为不可信。所以根证书用自己的私钥对中间证书进行签名这时中间证书就变为可信证书了。中间根又可以给另一个中间跟进行签名这个被中间根签名的新中间根同样也可以用来签署SSL证书。
根证书root certificate是CA中心自签名的证书即证书链的起点安装根证书就是信任此CA中心。首先我们要知道证书后文称之为证书A中的内容有用户的信息、公钥以及CA中心的签名。那么我们如何确定这个CA组织的签名是否可信呢显然需要用到这个CA中心的公钥那么这个公钥又要从哪里获取呢当然是从包含有CA中心公钥的那份证书后文称之为证书B中获取。下载了证书B后问题又来了如何验证证书B又是可信的呢于是又要用签发证书B的证书C来验证这个证书B是可信的。 这个时候似乎是一个死循环一层层嵌套就是证书链证书链的顶端就是自签名的证书称之为根证书也叫一级证书也是自签证书。 SSL证书 TLS证书: HTTPS *.crt/cer数字证书Linux下叫crtwindow下叫cer *.key私钥或公钥文件 *.csr证书签名请求文件 *.pem数字证书或秘钥比较通用两种都有可能。 证书申请、签发、验证流程
1、服务端生成秘钥对并发送csr请求服务端通过OpenSSL生成公私密钥对同时生成一个证书签名请求文件即csr文件Certificate Signature Request包含公钥申请信息域名/IP等内容发送给CA。 2、CA机构签发数字证书首先CA会对csr包计算Hash然后CA使用自己的私钥将该Hash值加密即对csr包进行数字签名Certificate Signature 最后将Certificate Signature添加在csr包上形成数字证书。 3、客户端验证数字证书首先客户端会使用同样的Hash算法计算该数字证书的Hash值H1通常浏览器和操作系统中集成了CA的公钥信息 浏览器收到服务器的数字证书后使用CA的公钥解密数字签名Certificate Signature的内容得到另一个Hash值H2最后比较如果H1和H2相同则为可信赖的证书进而能够使用数字证书中包含的服务端生成的公钥对即将发送的数据进行加密。 4、服务端收到客户端发送的加密数据后使用私钥进行解密。
