ssl知识大全

最新推荐文章于 2025-04-03 10:18:14 发布
转载 最新推荐文章于 2025-04-03 10:18:14 发布 · 663 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://sslhow.com/create-ssl-certificate-with-one-openssl-command/
文章标签:

#ssl #https #网络协议

在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。

X.509

我们在使用mbedtls时,会发现有X.509的名称,在其他地方也会遇到这个概念,这里我们只做通俗的解释:证书是有专门的认证机构颁发的,所以证书的格式有n多种是,而X.509是一种事实上的证书标准,很多应用程序都支持x.509标准规范。
了解更多x509证书知识

示例证书

我们看到的证书,一般是个文件,名字为 xxxx.crt或xxx.pem,这里我们以阿里云IOT平台SDK中给示例程序使用的 证书举例,直接查看证书内容,如下:

很显然,除了发现字符对的很整齐外,我们是一脸懵逼,完全就是天书,一堆乱码,那么如何解析这个证书内容呢? 前面讲到证书都是有标准格式的(X.509),这个证书是对外发布的,包含公钥的,所以就不存在保密而言,所以我们可以通过 生成证书的 openss 工具反向查看证书,命令如下:
如何把crt转化成pem格式
openssl x509 -in ali_crt.pem -inform pem -noout -text
1
解析后的内容如下:

ubuntu@VM-0-17-ubuntu:/opt/ssl$ openssl x509 -in ali_crt.pem -inform pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
04:00:00:00:00:01:15:4b:5a:c3:94
Signature Algorithm: sha1WithRSAEncryption
Issuer: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
Validity
Not Before: Sep 1 12:00:00 1998 GMT
Not After : Jan 28 12:00:00 2028 GMT
Subject: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:da:0e:e6:99:8d:ce:a3:e3:4f:8a:7e:fb:f1:8b:
83:25:6b:ea:48:1f:f1:2a:b0:b9:95:11:04:bd:f0:
63:d1:e2:67:66:cf:1c:dd:cf:1b:48:2b:ee:8d:89:
8e:9a:af:29:80:65🆎e9:c7:2d:12:cb🆎1c:4c:
70:07:a1:3d:0a:30💿15:8d:4f:f8:dd:d4:8c:50:
15:1c:ef:50:ee:c4:2e:f7:fc:e9:52:f2:91:7d:e0:
6d:d5:35:30:8e:5e:43:73:f2:41:e9:d5:6a:e3:b2:
89:3a:56:39:38:6f:06:3c:88:69:5b:2a:4d:c5:a7:
54:b8:6c:89:cc:9b:f9:3c:ca:e5:fd:89:f5:12:3c:
92:78:96:d6:dc:74:6e:93:44:61:d1:8d:c7:46:b2:
75:0e:86:e8:19:8a:d5:6d:6c:d5:78:16:95:a2:e9:
c8:0a:38:eb:f2:24:13:4f:73:54:93:13:85:3a:1b:
bc:1e:34:b5:8b:05:8c:b9:77:8b:b1:db:1f:20:91:
ab:09:53:6e:90:ce:7b:37:74:b9:70:47:91:22:51:
63:16:79:ae:b1:ae:41:26:08:c8:19:2b:d1:46:aa:
48:d6:64:2a:d7:83:34:ff:2c:2a:c1:6c:19:43:4a:
07:85:e7:d3:7c:f6:21:68:ef:ea:f2:52:9f:7f:93:
90:cf
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
60:7B:66:1A:45:0D:97:CA:89:50:2F:7D:04:CD:34:A8:FF:FC:FD:4B
Signature Algorithm: sha1WithRSAEncryption
d6:73:e7:7c:4f:76:d0:8d:bf:ec:ba:a2:be:34:c5:28:32:b5:
7c:fc:6c:9c:2c:2b:bd:09:9e:53:bf:6b:5e:aa:11:48:b6:e5:
08:a3:b3:ca:3d:61:4d:d3:46:09:b3:3e:c3:a0:e3:63:55:1b:
f2:ba:ef:ad:39:e1:43:b9:38:a3:e6:2f:8a:26:3b:ef:a0:50:
56:f9:c6:0a:fd:38💿c4:0b:70:51:94:97:98:04:df:c3:5f:
94:d5:15:c9:14:41:9c:c4:5d:75:64:15:0d:ff:55:30:ec:86:
8f:ff:0d:ef:2c:b9:63:46:f6:aa:fc:df:bc:69:fd:2e:12:48:
64:9a:e0:95:f0:a6:ef:29:8f:01:b1:15:b5:0c:1d:a5:fe:69:
2c:69:24:78:1e:b3:a7:1c:71:62:ee:ca:c8:97:ac:17:5d:8a:
c2:f8:47:86:6e:2a:c4:56:31:95:d0:67:89:85:2b:f9:6c:a6:
5d:46:9d:0c:aa:82:e4:99:51:dd:70:b7:db:56:3d:61:e4:6a:
e1:5c:d6:f6:fe:3d🇩🇪41:cc:07:ae:63:52:bf:53:53:f4:2b:
e9:c7:fd:b6:f7:82:5f:85:d2:41:18:db:81:b3:04:1c:c5:1f:
a4:80:6f:15:20:c9🇩🇪0c:88:0a:1d:d6:66:55:e2:fc:48:c9:
29:26:69:e0
如何查看证书的内容

证书规范

我们就以上述解析后的证书为例,介绍一下证书包含的内容:

  • 版本号(Version Number): 规范的版本号,目前版本为3, 值为0x02 序列号(Serial Number):
  • 由发证机关分配的卫衣序列号,最大不超过20个字节,本例中为:04:00:00:00:00:01:15:4b:5a:c3:9
  • 签名算法(Signature Algorithm): 数字证书锁采用的算法,本例中使用的为:sha1WithRSAEncrypti
  • 颁发者(Issuer): 发证单位的标识信息,可以理解为发证单位的地址、名称等其他信息,这里有一些简称: CN : country Name ST : state or provice name L : locality name O: organization name CN: common name, 这里CN是最重要的一个标识,代表了发证机关的 名称,后面会介绍 有效期(Validity
  • 证书的有效期限,包括起止时间 主题(Subject): 证书拥有者的标识信息(Distinguished Name),与Issuer相似。
  • 公钥信息(SubJect Public Key Info): 所保护的公钥相关的信息: 公钥算法 (Public Key
    Algorithm)公钥采用的算法; 主体公钥(Subject Unique Identifier):公钥的内容。
    颁发者唯一号(Issuer Unique Identifier): 代表颁发者的唯一信息,仅2、3版本支持,可选;
    主体唯一号(Subject Unique Identifier): 代表拥有证书实体的唯一信息,仅2,3版本支持,可选
    扩展(Extensions,可选): 可选的一些扩展。中可能包括: Subject Key
    Identifier:实体的秘钥标识符,区分实体的多对秘钥; Basic Constraints:一指明是否属于CA; Authority
    Key Identifier:证书颁发者的公钥标识符; CRL Distribution Points: 撤销文件的颁发地址;

Key Usage:证书的用途或功能信息。
此外,证书的颁发者还需要对证书内容利用自己的私钥添加签名, 以防止别人对证书的内容进行篡改。
openssl rsa keys/

Validity: 证书有效期,在调试的时候,验证证书中,会验证机器时间是否在证书有效期内,这个容易忽略,毕竟在一些嵌入式机器中,系统时钟不太重要,所以可能不是真实的时钟,这个时候,就会造成证书验证失败。
如何验证证书过期

参考文章:
ssl安全证书知识
convert to PEM
Check SSL Certificate Chain Order with Openssl
Check SSL certificate
two way ssl authentication
create ssl certificate

曹大卫779
关注
kafka2.x版本配置SSL进行加密和身份验证
heming20122012的专栏
03-19 4095
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
SSL设置大全
03-25
实验十五_在IIS中建立SSL安全网站.doc; 用证书实现windows_2003下IIS的SSL安全通信.doc; 证书使用和SSL实验.doc
SSL 相关知识
学习园地
10-15 1181
SSL(Secure Sockets Layer安全套接层),及其继任者传输层安全(Transport Layer Security,TSL)是网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在 传输层对网络进行加密。 Secure Socket Layer,为Netscape所研发,用以保障在Internet上的数据传输安全,利用数据机密(Encryption)技术,可确保数据在网
SSL相关知识介绍
realyouyi_的博客
01-05 601
SSL的定义: SSL英文全称Secure Socket Layer,安全套接层,是一种为网络通信提供安全以及数据完整性的安全协议,它在传输层对网络进行加密。它主要是分为两层: 1.SSL记录协议:为高层协议提供安全封装、压缩、加密等基本功能 2.SSL握手协议:用于在数据传输开始前进行通信双方的身份验证、加密算法的协商、交换密钥。 OpenSSL: SSL的开源实现,它是作为密码学的安全开发包,提供相当强大全面的功能,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SS...
SSL相关知识科普
weixin_34320159的博客
11-25 321
一个天朗气清的周末,决定看一下Composer的源码,从安装文件先看起,一路顺畅,直到遇到了openssl_xxx(),什么鬼啊这是,突然回想起在系统上安装软件的时候经常出现SSL:xxxx的错误?他们之间究竟有什么关系,据说Httpsssl也有关系,妈耶,于是有了这篇科普文。 文章逻辑是按照笔者的思考问题的历程写下的,可能有些跳跃,大家多担待。 文中大部分内容是通过维基百科和百度百科来的,可...
SSL/TLS相关知识点罗列
会飞的石头
12-19 654
SSL/TLS相关知识点罗列
Java SSL示例与指南大全
综上所述,这个资源包是为Java开发者提供的一套完整的JSSE学习材料,内容覆盖从基础到进阶的SSL实现知识。它不仅能帮助开发者理解SSL工作原理,而且通过实际的代码示例和详细文档指导,能够使开发者掌握在Java环境中...
网络技术全面解读:网络知识大全
根据标题、描述以及提供的标签和文件名,我们可以推断这个文件是一个包含网络知识的汇总性资料,文件名为"网络知识大全.CHM"。CHM格式是微软提供的帮助文件格式,常见于各类软件的官方帮助文档。这暗示了文件内容...
linux网络编程之SSL.pdf
09-30
Linux网络编程之SSL知识点涵盖了很多方面,从操作系统底层的网络通信机制到应用层安全加密协议的使用。具体到这段文字,我们可以从中提取出关于Linux下使用OpenSSL库进行SSL(Secure Socket Layer)编程的重要概念...
SSL基础知识
momDIY的博客
12-12 1699
## 什么是SSL * Secure Sockets Layer 安全套接层 * 为Netscape所研发,用以保障在网络上的数据传输安全 * 一般通用的规格为40 bit安全标准 * SSL协议位于TCP/IP协议与各种应用层协议直接 * SSL协议分为两层:SSL记录协议(SSL Record Protocol)和 SSL握手协议 (SSL Handshake Protocol)。前
ssl证书知识大全
linux_tcpdump的博客
09-05 1653
什么是SSL证书 SSL证书是用于在WEB服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来保护互联网数据传输的安全,全球每天有数以亿计的网站都是通过HTTPS来确保数据安全,保护用户隐私。 Understanding SSL server certificates with Examples SSL证书的作用 为您的网站访客、企业建立信任和网络安全 加密隐私数据。防止您访客的隐私信息(账号、地址、手机号等)被劫持或窃取 地址栏安全锁。地址栏头部的“锁”型图
SSL:原理、应用、安全威胁与最佳实践
陆业聪
03-10 3224
SSL是一种重要的安全协议,可以保护网络通信的安全。然而,使用SSL也需要注意一些安全问题和最佳实践,以防止被攻击。在Android应用中,更需要注意证书的管理和验证,以保护用户的数据安全。
SSL与TLS有什么区别(最全面的知识点都在这)
m0_37477061的博客
03-19 932
SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport LayerSecurity,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。...
openssl一套证书-配置文件和证书签发
liudong200618的博客
05-08 1123
x509 openssl csr
x509:生成与验证X.509证书的强大工具
最新发布
gitblog_00287的博客
04-03 1111
x509:生成与验证X.509证书的强大工具 在今天的数字化时代,数据安全已成为至关重要的议题。而X.509证书,作为公钥基础设施(PKI)的核心组成部分,被广泛应用于加密通信、身份验证等场景。今天,我们将为您介绍一个开源项目——@peculiar/x509,它能让生成和验证X.509证书变得异常简单。 项目介绍 @peculiar/x509是一个基于TypeScript和JavaScript的库...
创建和管理数字证书
a1013770350的博客
12-26 718
1.主要环节(1).了解XCA软件的基本功能(2).通过XCA创建根证书(3).通过XCA创建证书模板(4).创建实体证书2.理论介绍数字证书概述
数字证书是一种用于验证网络通信双方身份的加密文件,通常包含公钥、私钥和证书持有者的身份信息。数字证书主要用于实现安全套接层协议(如SSL/TLS),以确保网络通信的安全性和可靠性。数字证书是网络通信中标志通信实体身份信息的一系列数据,其作用类似于现实生活中的身份证。
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
weixin_33777877的博客
08-18 254
一、       获得证书... 2 1、        从CA获得... 2 2、        从windows2003证书服务中获得... 2 3、        使用makecert工具获得... 2 二、       证书的保存... 2 1、        保存在证书存储区... 2 2、        以文件形式保存... 4 2.1.       带有私钥的证书......
X.509 数字证书结构和实例
weixin_34367845的博客
08-28 1481
  一、 X.509数字证书的编码 X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN1语法进行编码。 ASN1采用一个个的数据块来描述整个数据结构,每个数据块都有四个部分组成: 1、数据块数据类型标识(一个字节) 数据类型包括简单类型和结构类型。 简单类型是不能再分解类型,如整型(INTERGER)、比特串(BI...
[教程]openssl中证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
qq_29820307的博客
06-22 4086
生成证书 注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048 #生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值