一文讀懂什麼是CA證書

//單純使用公私鑰進行加解密，會存在公鑰被替換僞造的風險，沒法判斷公鑰是否屬於服務提供商。

//因此，公鑰須要經過CA機構的認證。

//CA機構用本身的私鑰，對服務提供商的相關信息及公鑰進行加密生成數字證書。

//在進行安全鏈接的時候，服務提供商將證書一同發給用戶。

//用戶收到證書後，從他的CA認證機構下載證書/公鑰，驗證服務提供商證書的合法性。

//最後，從證書中提取服務商提供的公鑰，加、解密信息進行通訊。

 

名詞解釋：

    CA: Certificate Authority，證書中心/證書受權中心/電子認證服務機構，負責管理和簽發證書的，受公衆信任足夠權威的第三方機構，檢查證書持有者身份的合法性，並簽發證書，以防證書被僞造或篡改。

    CA證書: CA頒發的證書, 或數字證書，包含證書擁有者的身份信息，CA機構簽名，公鑰等。

   

證書編碼：

    DER編碼，二進制DER編碼。

    PEM編碼，用於ASCII(BASE64)編碼，文件由 "-----BEGIN"開始，"-----END"結束。

 

證書文件後綴：

    .pem(openssl默認，PEM編碼的文件) .crt(Unix/Linux，DER或PEM編碼均可以) .cer(windows，二進制)  .der(二進制)

 

祕鑰文件：

    .key

 

服務器證書申請文件/證書籤名請求文件：

    .req  .csr

 

使用openssl模擬祕鑰證書的生成過程:

  openssl x509工具主要用於輸出證書信息, 簽署證書請求文件、自簽署、轉換證書格式等。它就像是一個完整的小型的CA工具箱。

  1.生成服務器私鑰:

      1.1.須要常常輸入密碼：

      openssl genrsa -des3 -out server_private.key 2048 會有輸入密碼的要求

      1.2.去除密碼：

      openssl rsa -in server_private.key -out server_private.key

      1.3.無密碼證書祕鑰：

      openssl genrsa -out server_private.key 2048

    //1.4.生成公鑰:

    //openssl rsa -in server_private.key -pubout -out server_public.key

 

  2.生成 服務器證書申請文件/證書籤名請求文件 .req:

      2.1.openssl req -new -key server_private.key -out server.req

      會讓輸入Country Name 填 CN; Common Name 填 ip 也能夠不填。

      #查看server.req

      2.2.openssl req -in server.req -text

 

  3.生成CA私鑰：

      3.1.openssl genrsa -out ca_private.key 2048

 

  4.生成 CA證書申請文件/證書籤名請求文件 .req:

      4.1.openssl req -new -key ca_private.key  -out ca_request.req

      #查看ca_request.req

      4.2.openssl req -in ca_request.req -text

 

  5.建立CA證書，用來給服務器的證書籤名:(這個證書請求原本應由更高級的CA用它的private key對這個證書請求進行簽發，因爲此時模擬的CA是 root CA，沒有更高級的CA了，因此要進行自簽發，用 本身的private key 對 本身的證書請求 進行簽發。)

      5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem

      #查看證書

      5.2.openssl x509 -in ca.pem -noout -text

 

  6.CA用本身的CA證書ca.pem 和 私鑰ca_private.key 爲 server.req 文件簽名，生成服務器證書，：

      6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem

      #查看證書

      6.2.openssl x509 -in server.pem -noout -text

      #查看公鑰

      6.3.openssl x509 -in server.pem -noout -pubkey

 

  7.查看服務器證書的modulus和服務器私鑰的modulus，應該同樣：

      7.1.openssl x509 -in server.pem -noout -modulus

      7.2.openssl rsa -in server_private.key -noout -modulus

 

  8.用戶訪問https網站，服務器會用private key加密數據傳輸，同時會把證書傳給用戶，裏面有public key信息，用於解密數據。

    用戶使用公鑰機密的時候，要確認此公鑰是不是服務商的，是不是受信任的。

    用戶從服務商證書中發現，其證書是由某CA簽發的，從CA官網下載他的證書，發現它由 更高級CA簽發 或者 是root證書，自簽發的。

    這時就能夠一級一級的驗證證書的合法性，最終確認服務商的證書是否被信任。

    驗證後就可使用公鑰解密信息，進行通訊。

    openssl verify -CAfile ca.pem server.pem

 

  9. ls 出現如下文件：

      ca.pem  ca_private.key  ca_request.req  ca.srl  server.pem  server_private.key  server.req

 

  10.從證書導出公鑰:

      openssl x509 -in server.pem -noout -pubkey -out server_public.key

 

  11.使用公鑰加密，私鑰解密:

      openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt

      openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt

 

  12.不想瀏覽器發出警告，就導入ca.pem文件:

 

  13.查看證書內容：

      13.1.打印出證書的內容：openssl x509 -in server.pem -noout -text

      13.2.打印出證書的系列號：openssl x509 -in server.pem -noout -serial

      13.3.打印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject

      13.4.以RFC2253規定的格式打印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject -nameopt RFC2253

      13.5.打印出證書的MD5特徵參數：openssl x509 -in server.pem -noout -fingerprint

      13.6.打印出證書有效期：openssl x509 -in server.pem -noout -dates

      13.7.打印出證書公鑰：openssl x509 -in server.pem -noout -pubkey

 

  14.證書祕鑰要使用相同的編碼格式

 

  15.證書格式轉換:

    PEM轉DER格式：openssl x509 -inform pem -in server.pem -outform der -out server.der

 

    DER轉PEM格式：openssl x509 -inform der -in server.der -outform pem -out server.pem0