一文讀懂什么是CA證書/openssl模擬證書的生成程序-有解無憂

//單純使用公私鑰進行加解密，會存在公鑰被替換偽造的風險，無法判斷公鑰是否屬于服務提供商，

//所以，公鑰需要通過CA機構的認證，

//CA機構用自己的私鑰，對服務提供商的相關資訊及公鑰進行加密生成數字證書，

//在進行安全連接的時候，服務提供商將證書一同發給用戶，

//用戶收到證書后，從他的CA認證機構下載證書/公鑰，驗證服務提供商證書的合法性，

//最后，從證書中提取服務商提供的公鑰，加、解密資訊進行通信，

名詞解釋：

CA: Certificate Authority，證書中心/證書授權中心/電子認證服務機構，負責管理和簽發證書的，受公眾信任足夠權威的第三方機構，檢查證書持有者身份的合法性，并簽發證書，以防證書被偽造或篡改，

CA證書: CA頒發的證書, 或數字證書，包含證書擁有者的身份資訊，CA機構簽名，公鑰等，

證書編碼：

DER編碼，二進制DER編碼，

PEM編碼，用于ASCII(BASE64)編碼，檔案由 "-----BEGIN"開始，"-----END"結束，

證書檔案后綴：

.pem(openssl默認，PEM編碼的檔案) .crt(Unix/Linux，DER或PEM編碼都可以) .cer(windows，二進制) .der(二進制)

秘鑰檔案：

.key

服務器證書申請檔案/證書簽名請求檔案：

.req .csr

使用openssl模擬秘鑰證書的生成程序:

openssl x509工具主要用于輸出證書資訊, 簽署證書請求檔案、自簽署、轉換證書格式等，它就像是一個完整的小型的CA工具箱，

1.運營商私鑰:

模擬生成運營商的私鑰:

1.1.需要經常輸入密碼：

openssl genrsa -des3 -out server_private.key 2048 會有輸入密碼的要求

1.2.去除密碼：

openssl rsa -in server_private.key -out server_private.key

1.3.無密碼證書秘鑰：

openssl genrsa -out server_private.key 2048

//1.4.生成公鑰:

//openssl rsa -in server_private.key -pubout -out server_public.key

2.運營商向CA申請證書檔案:

模擬生成運營商證書申請檔案/證書簽名請求檔案 .req:

2.1.openssl req -new -key server_private.key -out server.req

會讓輸入Country Name 填 CN; Common Name 填 ip 也可以不填，

#查看server.req

2.2.openssl req -in server.req -text

3.CA機構要有自己的私鑰，為運營商簽發證書:

生成CA私鑰：

3.1.openssl genrsa -out ca_private.key 2048

4.CA機構也要向更高級的CA機構申請證書, 有了自己的證書才能為運營商簽發證書:

生成 CA證書申請檔案/證書簽名請求檔案 .req:

4.1.openssl req -new -key ca_private.key -out ca_request.req

#查看ca_request.req

4.2.openssl req -in ca_request.req -text

5.CA機構獲得證書:

創建CA證書，用來給運營商的證書簽名，

這個證書，本來應由更高級的CA用它的private key對這個證書請求進行簽發，

由于此時模擬的CA是 root CA，沒有更高級的CA了，所以要進行自簽發，用自己的private key對自己的證書請求進行簽發，

5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem

#查看證書

5.2.openssl x509 -in ca.pem -noout -text

6.CA機構向運營商簽發證書:

CA用自己的CA證書ca.pem 和私鑰ca_private.key 為 server.req運營商請求檔案簽名，生成運營商的證書:

6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem

#查看證書

6.2.openssl x509 -in server.pem -noout -text

#查看公鑰

6.3.openssl x509 -in server.pem -noout -pubkey

#####################################################################################################################

7.查看服務器證書的modulus和服務器私鑰的modulus，應該一樣：

7.1.openssl x509 -in server.pem -noout -modulus

7.2.openssl rsa -in server_private.key -noout -modulus

8.用戶訪問https網站，服務器會用private key加密資料傳輸，同時會把證書傳給用戶，里面有public key資訊，用于解密資料，

用戶使用公鑰機密的時候，要確認此公鑰是否是服務商的，是否是受信任的，

用戶從服務商證書中發現，其證書是由某CA簽發的，從CA官網下載他的證書，發現它由更高級CA簽發或者是root證書，自簽發的，

這時就可以一級一級的驗證證書的合法性，最終確認服務商的證書是否被信任，

驗證后就可以使用公鑰解密資訊，進行通信，

openssl verify -CAfile ca.pem server.pem

9. ls 出現以下檔案：

ca.pem ca_private.key ca_request.req ca.srl server.pem server_private.key server.req

10.從證書匯出公鑰:

openssl x509 -in server.pem -noout -pubkey -out server_public.key

11.使用公鑰加密，私鑰解密:

openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt

openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt

12.不想瀏覽器發出警告，就匯入ca.pem檔案:

13.查看證書內容：

13.1.列印出證書的內容：openssl x509 -in server.pem -noout -text

13.2.列印出證書的系列號：openssl x509 -in server.pem -noout -serial

13.3.列印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject

13.4.以RFC2253規定的格式列印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject -nameopt RFC2253

13.5.列印出證書的MD5特征引數：openssl x509 -in server.pem -noout -fingerprint

13.6.列印出證書有效期：openssl x509 -in server.pem -noout -dates

13.7.列印出證書公鑰：openssl x509 -in server.pem -noout -pubkey

13.7.驗證證書的有效性：openssl verify -CAfile ca.pem server.pem

14.證書秘鑰要使用相同的編碼格式

15.證書格式轉換:

PEM轉DER格式：openssl x509 -inform pem -in server.pem -outform der -out server.der

DER轉PEM格式：openssl x509 -inform der -in server.der -outform pem -out server.pem0

16.錯誤:

16.1. Common Name 最好是有效根域名(如 zeali.net ), 并且不能和后來服務器證書簽署請求檔案中填寫的 Common Name 完全一樣，否則會導致證書生成的時候出現 error 18 at 0 depth lookup:self signed certificate 錯誤

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/33717.html

標籤：其他

上一篇：利用sqlmap進行Access和Mysql注入

下一篇：BeesCMS 4.0 SQL注入漏洞分析