CA證書

CA證書簡介：

    CA 也擁有一個證書（內含公鑰和私鑰）。網上的公衆用戶經過驗證 CA 的簽字從而信任 CA ，任何人均可以獲得 CA 的證書（含公鑰），用以驗證它所簽發的證書。

    若是用戶想獲得一份屬於本身的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便爲他分配一個公鑰，而且 CA 將該公鑰與申請者的身份信息綁在一塊兒，併爲之簽字後，便造成證書發給申請者。

    若是一個用戶想鑑別另外一個證書的真僞，他就用 CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證經過，該證書就被認爲是有效的。證書實際是由證書籤證機關（CA）簽發的對用戶的公鑰的認證。

    證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前，證書的格式和驗證方法廣泛遵循X.509 國際標準。

 

CA證書申請：

    選用沃通證書機構申請，填寫申請資料綁定域名，上傳資料，驗證後經過；

 

公鑰和私鑰

    公鑰（Public Key）與私鑰（Private Key）使經過一種算法獲得的一個密鑰對，公鑰是密鑰對中公開的部分，私鑰則是非公開的部分。

     公鑰一般用於加密會話密鑰、驗證數字簽名，或加密能夠用相應的私鑰解密的數據，經過這種算法獲得的密鑰對能保證在世界範圍內是惟一的，使用這個密鑰對的時候，若是用其中一個密鑰加密一段數據，必須用另外一個密鑰解密；

 

     數字證書是一個經證書受權中心（CA）數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，最簡單的證書包含一個公開密鑰、名稱以及證書受權中心的數字簽名，數字證書還有一個重要的特徵就是隻在特定的時間段內有效；

 

1、使用 OpenssL 生成私鑰

     

     openssl genres -out myprivate.pem 2048

     私鑰文件：myprivate.pem，其中「2048」爲加密長度；

 

    私鑰和公鑰一一對應，私鑰若是丟失或損壞，申請的對應公鑰和數字證書將沒法使用；

 

2、證書鏈

    

    證書鏈由兩個環節組成—信任錨（CA 證書）環節和已簽名證書環節。自我簽名的證書僅有一個環節的長度—信任錨環節就是已簽名證書自己。

證書鏈(certificate chain)

    證書鏈能夠有任意環節的長度，因此在三節的鏈中，信任錨證書CA 環節能夠對中間證書籤名；中間證書的全部者能夠用本身的私鑰對另外一個證書籤名。CertPath API 能夠用來遍歷證書鏈以驗證有效性，也能夠用來構造這些信任鏈。

    Web 瀏覽器已預先配置了一組瀏覽器自動信任的根 CA 證書。來自其餘證書受權機構的全部證書都必須附帶證書鏈，以檢驗這些證書的有效性。證書鏈是由一系列 CA 證書發出的證書序列，最終以根 CA 證書結束。

    證書最初生成時是一個自簽名證書。自簽名證書是其簽發者（簽名者）與主題（其公共密鑰由該證書進行驗證的實體）相同的證書。若是擁有者向 CA 發送證書籤名請求 (CSR)，而後輸入響應，自簽名證書將被證書鏈替換。鏈的底部是由 CA 發佈的、用於驗證主題的公共密鑰的證書（回覆）。鏈中的下一個證書是驗證 CA 的公共密鑰的證書。一般，這是一個自簽名證書（即，來自 CA、用於驗證其自身的公共密鑰的證書）而且是鏈中的最後一個證書。

    在其餘狀況下，CA 可能會返回一個證書鏈。在此狀況下，鏈的底部證書是相同的（由 CA 簽發的證書，用於驗證密鑰條目的公共密鑰），可是鏈中的第二個證書是由其餘 CA 簽發的證書，用於驗證您向其發送了 CSR 的 CA 的公共密鑰。而後，鏈中的下一個證書是用於驗證第二個 CA 的密鑰的證書，依此類推，直至到達自簽名的根證書。所以，鏈中的每一個證書（第一個證書以後的證書）都須要驗證鏈中前一個證書的簽名者的公共密鑰。

 

    阿里雲上的 CA 證書服務，手動生成 CRS 文件或者阿里雲系統生成，提交沃通獲取公鑰，可綁定在阿里雲的負載均衡處；

 

apache 和 nginx 也能夠配置 ssl 模塊；