openssl學習筆記(公鑰,私鑰,數字簽名,CA,根證書等)

1. 信息內容加密
   接收者的公鑰: 用於加密
   接收者的私鑰: 用於解密
    --------  驗證接收者(保證數據私密性)

2. 數字簽名
   發送者的私鑰: 用於加密
   發送者的公鑰: 用於解密
     --------  驗證發送者(保證不可抵賴性、數據完整性)

3. 證書
   用於確認公鑰所對應的私鑰持有者的身份
   證書與公共密鑰相關聯
   證書內容包括:  證書的名稱(含國家,省,城市,組織等信息), 公匙; 認證機構的名稱, 簽名; 有效時間; 證書籤發的流水號等信息.

證書的概念：首先要有一個根證書，而後用根證書來簽發用戶證書。
對於申請證書的用戶：在生成證書以前，通常會有一個私鑰，而後用私鑰生成證書請求(證書請求裏應含有公鑰信息)，再利用證書服務器的根證書來簽發證書。

特別的:
（1）自簽名證書(通常用於頂級證書、根證書): 證書的名稱和認證機構的名稱相同.

（2）根證書：根證書是CA認證中心給本身頒發的證書,是信任鏈的起始點。安裝根證書意味着對這個CA認證中心的信任

數字證書則是由證書認證機構（CA）對證書申請者真實身份驗證以後，用CA的根證書對申請人的一些基本信息以及申請人的公鑰進行簽名（至關於加蓋發證書機構的公章）後造成的一個數字文件。數字證書包含證書中所標識的實體的公鑰（就是說你的證書裏有你的公鑰），因爲證書將公鑰與特定的我的匹配，而且該證書的真實性由頒發機構保證（就是說可讓你們相信你的證書是真的），所以，數字證書爲如何找到用戶的公鑰並知道它是否有效這一問題提供瞭解決方案。

  

openssl中有以下後綴名的文件

.key格式：私有的密鑰

.crt格式：證書文件，certificate的縮寫

.csr格式：證書籤名請求（證書請求文件），含有公鑰信息，certificate signing request的縮寫

.crl格式：證書吊銷列表，Certificate Revocation List的縮寫

.pem格式：用於導出，導入證書時候的證書的格式，有證書開頭，結尾的格式

 

經常使用證書協議
x509v3: IETF的證書標準
x.500:目錄的標準
SCEP:  簡單證書申請協議，用http來進行申請，數據有PKCS#7封裝，數據其實格式也是PKCS#10的
PKCS#7:  是封裝數據的標準，能夠放置證書和一些請求信息
PKCS#10:  用於離線證書申請的證書申請的數據格式，注意數據包是使用PKCS#7封裝這個數據
PKCS#12:  用於一個單一文件中交換公共和私有對象，就是公鑰，私鑰和證書，這些信息進行打包，加密放在存儲目錄中，CISCO放在NVRAM中，用戶能夠導出，以防證書服務器掛掉能夠進行相應恢復。思科是.p12,微軟是.pfx
 

 

 

 本文附件有一篇網上配置文檔，本身並無實際操做過，根據本身的理解作了一點文字修改，在該例子中

(1)CA中心：生成私鑰my-ca.key －〉經過CA私鑰來生成自簽名證書my-ca.crt

 

(2)郵件服務器：即 須要申請證書的用戶，在本身的計算機中生成一個證書籤名請求（certificate signing request (CSR) ）文件，CSR包括本身的公鑰，將其上載到 CA中心，由CA中心用本身的私鑰把CSR文件簽名生成證書。

 

郵件服務器生成私鑰station20.key－〉生成證書籤名請求dovecot.csr( .csr裏有郵件服務器的公鑰信息)－〉上傳到CA中心， 用CA證書和CA私鑰爲csr文件簽名，生成dovecot.crt 證書。關鍵命令爲openssl ca -in dovecot.csr -out dovecot.crt -cert my-ca.crt -keyfile my-ca.key－〉再把CA中心上的dovecot.crt證書下載回郵件服務器

 

(3)郵件客戶端：不須要申請證書，只須要信任證書。

把CA中心的my-ca.crt權威CA導入到信任列表中