SSL/TSL 总结

原創 Sam Xiao 2024-01-13 13:42

阿里云:数字证书管理服务(原SSL证书)https://www.aliyun.com/product/cas?utm_content=se_1015412683


CA证书,全称为Certification Authority,即数字证书认证机构。它是一种用于加密和身份验证的数字证书。
CA证书的工作原理如下:
1. 注册:用户向CA申请数字证书,提供身份信息和公钥。
2. 核验身份:CA对用户身份进行一系列验证,确保其真实性和合法性。验证过程可以包括个人面谈、文件核对以及技术审查等。
3. 签发证书:验证通过后,CA通过自己的私钥对用户公钥和身份信息进行数字签名,生成数字证书。数字证书包含用户的公钥、用户身份信息以及CA的数字签名。
4. 分发证书:CA将签发的数字证书发送给用户。用户可以将数字证书存储在其计算机、服务器或其他设备中。
5. 验证身份:当用户需要进行加密或身份验证时,其他用户可以使用CA的公钥来验证数字证书的真实性和完整性。用户使用CA的公钥对接收到的数字证书中的数字签名进行验证,以确保该证书是由CA签发的。
6. 加密和身份验证:用户可以使用数字证书中的公钥进行加密操作,将信息发送给其他用户。接收者使用发送者的数字证书中的公钥对接收到的信息进行解密。
总体来说,CA证书通过CA机构对用户身份进行验证并签发数字证书,实现了对数字证书的管理和传输过程中的安全保护。它可以确保数据的机密性、完整性和身份验证的可靠性。


安装:Win64OpenSSL-3_2_0.exe 大概需要690M左右的空间,
本次演示安装在:C:\Program Files\OpenSSL-Win64 ; 需要将路径配置到环境变量中 C:\Program Files\OpenSSL-Win64\bin

查看 enc 的对称加密算法:openssl enc -list


简书:openssl: https://www.jianshu.com/p/bc1498a39a7c
OpenSSL创建生成CA证书、服务器、客户端证书及密钥:https://blog.csdn.net/qq153471503/article/details/109524764
OpenSSL安装和命令行工具介绍:https://blog.csdn.net/new9232/article/details/131013837
java连接MQTT+SSL服务器:https://www.jianshu.com/p/f498cd767d4b

 

 

=================================================================================================================

参考:https://blog.csdn.net/qq153471503/article/details/109524764

(一)生成CA证书
1、创建CA证书私钥
openssl genrsa -aes256 -out ca.key 2048 (密码:ca1234567890)
2、请求证书
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CA/[email protected]" (密码:ca1234567890)
3、自签署证书
openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer (密码:ca1234567890)

(二)生成服务器证书
1、创建服务器私钥
openssl genrsa -aes256 -out server.key 2048 (密码:server1234567890)
2、请求证书
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/[email protected]" (密码:server1234567890)
3、使用CA证书签署服务器证书
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer (密码:ca1234567890)

(三)生成客户端证书 (密码:server1234567890)
1、创建客户端私钥
openssl genrsa -aes256 -out client.key 2048 (密码:client1234567890)
2、申请证书
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/[email protected]" (密码:client1234567890)
3、使用CA证书签署客户端证书
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer (密码:ca1234567890)


验证:
单向认证命令行:
服务器:
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22580 (密码:server1234567890)
客户端:
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22580 (密码:client1234567890)


双向认证:
服务器:
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22580 -Verify 1 (密码:server1234567890)
客户端:
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22580 (密码:client1234567890)


备注:
证书的参数含义
C-----国家(Country Name)
ST----省份(State or Province Name)
L----城市(Locality Name)
O----公司(Organization Name)
OU----部门(Organizational Unit Name)
CN----产品名(Common Name)
emailAddress----邮箱(Email Address)

=================================================================================================================

 

https://blog.csdn.net/qq_35921773/article/details/128343692

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Dokcer部署Kafka集群

docker網絡規劃 docker network create kafka-net --subnet 172.20.0.0/16 docker network ls zookeeper1(172.20.0.11 2184:2181

zer0black 2024-05-16 14:31:24

「Pygors跨平台GUI」2:安装MinGW-w64、MSYS2还是WSL2

「Pygors系列」一句話導讀: MinGW-w64只有編譯器,MSYS2帶着更新環境,WSL2實用性比較高   歷史與淵源     Windows平臺 Linux平臺 二進制兼容 WSL2:運行Linux程序 Wine:運行Wi

windfic 2024-05-16 14:29:14

「Pygors跨平台GUI」1:Pygors跨平台GUI应用研究

「Pygors系列」一句話導讀: Python、Go、Rust、C程序跨平臺GUI框架研究。   一、問題 Pygors是什麼? Pygors是我自己創造的一個詞,就是Python、Go、Rust、C四種語言的合體。目的是爲了跨平臺GUI應

windfic 2024-05-16 14:29:14

【Linux命令学习】lsof查看打开的文件

lsof: list open files 作用1:可查端口號被哪個進程佔用 比如我們跑自動化,經常會遇到端口號被佔用,無法啓動driver lsof -i :8081 lsof 輸出的結果含義: fd:文件描述符的數字,通常是一個

金大鑫要堅持 2024-05-16 14:27:04

MacOS添加,查看,删除用户

1. 添加用戶 在macOS中,可以通過命令行使用dscl(Directory Service command line utility)工具來添加用戶。以下是使用dscl添加用戶的步驟: 打開終端:可以通過在Spotlight搜索中輸

金大鑫要堅持 2024-05-16 14:27:04

Flink执行图

Flink的代碼編寫流程爲env->source->transform->sink,基本所有的代碼都是大致按照圖1的流程進行代碼編寫,當然中間也會有一些封裝之類的。   Flink代碼寫好後,它的任務調度執行圖按照生成順序分爲:邏輯流圖(

人不瘋狂枉一生 2024-05-16 14:23:03

Garnet:微软官方基于.NET开源的高性能分布式缓存存储数据库

前言 前不久Redis宣佈從 Redis 7.4 開始,將原先比較寬鬆的 BSD 源碼使用協議修改爲 RSALv2 和 SSPLv1 協議,該協議變化意味着Redis不再開源。今天給大家分享一款完全開源(MIT協議)、免費的Redis替代性

追逐時光 2024-05-16 14:22:03

nodejs学习07——API

接口 一、簡介 1.1 接口是什麼 接口是 前後端通信的橋樑 簡單理解:一個接口就是 服務中的一個路由規則 ,根據請求響應結果 接口的英文單詞是 API (Application Program Interface),所以有時也稱之爲 AP

htj10 2024-05-16 14:21:53

nodejs学习06——小案例

記賬本  

htj10 2024-05-16 14:21:53

🔥 Java Solon v2.7.6 发布

Java Solon 是什麼框架? Java “新的”應用開發框架。開放原子開源基金會,孵化項目。從零開始構建(非 java-ee 架構),有靈活的接口規範與開放生態。 追求: 更快、更小、更簡單 提倡: 剋制、簡潔、高效、開放、生態

劉之西東 2024-05-16 14:21:13

Puppeteer!

什麼是Puppeteer Puppeteer 是一個由 Google 開發的 Node.js 庫,它提供了一組用於控制 Headless Chrome 的 API。 Headless Chrome 是 Chrome 瀏覽器的無界面版本,可以

CharyGao 2024-05-16 14:17:02

openstack虚拟机用keep alive添加的VIP,其它机器无法访问

  neutron port-list |grep ipneutron port-update a7fbxxf6cc2 --allowed_address_pairs type=dict list=true ip_address=vipne

馬昌偉 2024-05-16 14:13:52

apisix~authz-keycloak插件介绍

參考:https://apisix.apache.org/docs/apisix/plugins/authz-keycloak/ kc插件源碼梳理及原理說明 如果只是進行keycloak頒發的token進行校驗(簽名校驗和有效期校驗),

張佔嶺 2024-05-16 14:12:42

Dynamic-Datasource动态数据源

1、添加請求對應的數據源標籤 DynamicDataSourceContextHolder.push(ds); 2、添加數據源    3、動態添加數據源 private DynamicRoutingDataSource dataSo

擾擾 2024-05-16 14:12:02

NETCore中实现一个轻量无负担的极简任务调度ScheduleTask

至於任務調度這個基礎功能,重要性不言而喻,大多數業務系統都會用到,世面上有很多成熟的三方庫比如Quartz,Hangfire,Coravel 這裏我們不討論三方的庫如何使用 而是從0開始自己製作一個簡易的任務調度,如果只是到分鐘級別的粒度基

萬雅虎 2024-05-16 14:04:41