阿里雲:數字證書管理服務(原SSL證書)https://www.aliyun.com/product/cas?utm_content=se_1015412683
CA證書,全稱爲Certification Authority,即數字證書認證機構。它是一種用於加密和身份驗證的數字證書。
CA證書的工作原理如下:
1. 註冊:用戶向CA申請數字證書,提供身份信息和公鑰。
2. 覈驗身份:CA對用戶身份進行一系列驗證,確保其真實性和合法性。驗證過程可以包括個人面談、文件覈對以及技術審查等。
3. 簽發證書:驗證通過後,CA通過自己的私鑰對用戶公鑰和身份信息進行數字簽名,生成數字證書。數字證書包含用戶的公鑰、用戶身份信息以及CA的數字簽名。
4. 分發證書:CA將簽發的數字證書發送給用戶。用戶可以將數字證書存儲在其計算機、服務器或其他設備中。
5. 驗證身份:當用戶需要進行加密或身份驗證時,其他用戶可以使用CA的公鑰來驗證數字證書的真實性和完整性。用戶使用CA的公鑰對接收到的數字證書中的數字簽名進行驗證,以確保該證書是由CA簽發的。
6. 加密和身份驗證:用戶可以使用數字證書中的公鑰進行加密操作,將信息發送給其他用戶。接收者使用發送者的數字證書中的公鑰對接收到的信息進行解密。
總體來說,CA證書通過CA機構對用戶身份進行驗證並簽發數字證書,實現了對數字證書的管理和傳輸過程中的安全保護。它可以確保數據的機密性、完整性和身份驗證的可靠性。
安裝:Win64OpenSSL-3_2_0.exe 大概需要690M左右的空間,
本次演示安裝在:C:\Program Files\OpenSSL-Win64 ; 需要將路徑配置到環境變量中 C:\Program Files\OpenSSL-Win64\bin
查看 enc 的對稱加密算法:openssl enc -list
簡書:openssl: https://www.jianshu.com/p/bc1498a39a7c
OpenSSL創建生成CA證書、服務器、客戶端證書及密鑰:https://blog.csdn.net/qq153471503/article/details/109524764
OpenSSL安裝和命令行工具介紹:https://blog.csdn.net/new9232/article/details/131013837
java連接MQTT+SSL服務器:https://www.jianshu.com/p/f498cd767d4b
=================================================================================================================
參考:https://blog.csdn.net/qq153471503/article/details/109524764
(一)生成CA證書
1、創建CA證書私鑰
openssl genrsa -aes256 -out ca.key 2048 (密碼:ca1234567890)
2、請求證書
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CA/[email protected]" (密碼:ca1234567890)
3、自簽署證書
openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer (密碼:ca1234567890)
(二)生成服務器證書
1、創建服務器私鑰
openssl genrsa -aes256 -out server.key 2048 (密碼:server1234567890)
2、請求證書
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/[email protected]" (密碼:server1234567890)
3、使用CA證書籤署服務器證書
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer (密碼:ca1234567890)
(三)生成客戶端證書 (密碼:server1234567890)
1、創建客戶端私鑰
openssl genrsa -aes256 -out client.key 2048 (密碼:client1234567890)
2、申請證書
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/[email protected]" (密碼:client1234567890)
3、使用CA證書籤署客戶端證書
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer (密碼:ca1234567890)
驗證:
單向認證命令行:
服務器:
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22580 (密碼:server1234567890)
客戶端:
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22580 (密碼:client1234567890)
雙向認證:
服務器:
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22580 -Verify 1 (密碼:server1234567890)
客戶端:
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22580 (密碼:client1234567890)
備註:
證書的參數含義
C-----國家(Country Name)
ST----省份(State or Province Name)
L----城市(Locality Name)
O----公司(Organization Name)
OU----部門(Organizational Unit Name)
CN----產品名(Common Name)
emailAddress----郵箱(Email Address)
=================================================================================================================
https://blog.csdn.net/qq_35921773/article/details/128343692