TLS原理及证书生成

最新推荐文章于 2024-09-02 20:17:06 发布
最新推荐文章于 2024-09-02 20:17:06 发布
阅读量3.4k 收藏 10
点赞数 7
分类专栏: TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhypss/article/details/106653078
版权
本文详细介绍了TLS加密通信的原理,包括如何使用非对称加密协商密钥,以及如何利用对称加密进行安全通信。同时,文章还提供了生成RSA密钥、证书请求和自签名证书的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、生成RSA密钥

> openssl genrsa -des3 -out mykey.pem 2048

或者:

> openssl genrsa -out mykey.pem 2048

建议用2048位密钥,少于此可能会不安全或很快将不安全。

2、生成证书请求

> openssl req -new -key mykey.pem -out cert.csr

cert.csr即一个证书请求文件,可以拿着这个文件去数字证书颁发机构(CA)申请数字证书。CA会给一个新的文件cacert.pem,即数字证书。

3、生成证书
若自己测试,则证书的申请机构和颁发机构都是自己。可以用如下命令生成证书:

> openssl req -new -x509 -key mykey.pem -out cert.pem -days 1095

4、使用数字证书和密钥
有了mykey.pem和cert.pem文件后就可以在自己的程序中使用了,比如做一个加密通讯的TCP通信连接。

TLS加密大致原理如下:
简单说来,TLS通信的核心是使用 非对称加密 去协商一个密钥Key,然后通信双方使用密钥Key进行对称加密通信,具体过程如下:

  1. 客户端获取服务器证书(即前面所述的cert.pem),验证证书合法有效,以确保公钥来自服务器,而不是伪造的公钥。
  2. 客户端生成一个随机数A,并使用服务器证书(cert.pem)中的公钥加密一个随机数A,发送给服务器
  3. 服务器用私钥(即前面所述的mykey.pem )解密得到随机数A(服务器私钥一定要保存好,不可泄露)
  4. 后续双方使用随机数A进行对称加密通信。

这样即使数据被第三方拦截,也无法得到随机数A(因为私钥只在服务器手中),所以后续双方的对称加密通信也是安全的。当然,这只是大致原理,具体实现远远复杂的多。

以上为个人理解总结,欢迎纠正指教!

如何为服务器生成一个TLS证书
a1546464545454的博客
08-09 1165
生成 TLS 1.3 的证书,可以使用 OpenSSL 工具,它是一个广泛使用的开源工具,能够生成和管理 SSL/TLS 证书。以下是生成自签名 TLS 1.3 证书的详细步骤。
OpenSSL crt & key (生成一套用于TLS双向认证的证书密钥)
最新发布
一个bug是bug,多个bug能work
02-21 523
根 CA 证书用于签发服务器和客户端证书,确保它们可以互相验证身份。,适用于 TLS 服务器与客户端双向认证。服务器证书用于 TLS 服务器身份认证。完整的步骤如下,包括。生成一套 TLS 证书,包括。客户端证书用于客户端认证。该过程完整生成了一套。
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 2064
可通过以下两种方式获取相关 SSL/TLS 证书:自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
TLS证书生成-openssl基本命令
qq_42288975的博客
09-02 852
其中,Let’s Encrypt是一个提供域名验证SSL证书的开源CA,而其他机构则提供更广泛的证书服务,包括不同验证级别的证书。哈希链接的文件名通常是证书文件名的哈希值,链接指向实际的证书文件。CA证书证书颁发机构(Certificate Authority)颁发的证书,用于在互联网通信中建立信任关系,是SSL/TLS协议实施中不可或缺的一部分,使得传输的数据加密并保证通信安全。可以通过capath方式,按需装载校验对端所需的CA证书,指定证书路径,openssl就可以通过路径查找能够使用的证书
TLS初探(3)证书生成
jjxojm的专栏
07-30 1925
      上一节讲了各种证书的格式,在此基础上本次来探究一下证书生成。本次使用openssl进行相应的证书管理,具体openssl的安装说明等基本知识就不在此赘述。        此次主要流程就是先生成一个自签名根证书,然后利用自签名根证书去签发一个服务器证书,具体步骤如下: 1.  生成证书之前,首先需要进行私钥生成(以RSA为例) openssl genrsa -out ca.k...
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3515
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS的基本工作流程。
TLS 协议与 TLS 证书生成、配置
巡山小妖008
12-22 3792
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
本地ssl证书生成工具
03-19
- OpenSSL:这是一款开源的SSL/TLS工具包,可以用来生成各种类型的证书,包括自签名证书。它是生成本地SSL证书最常用的工具。 - Windows的MakeCert:这是一个Windows内置工具,用于创建自签名证书,适用于Windows...
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
在HTTPS证书生成过程中,openssl主要用来生成私钥和CSR(证书签名请求)文件。 - **生成私钥**:使用`openssl genpkey`命令可以生成RSA或ECDSA等类型的私钥,如`openssl genpkey -algorithm RSA -out private.key`...
tls-gen:简化开发环境中的自签名TLS/SSL证书生成
tls-gen是一个基于OpenSSL的命令行工具,用于生成自签名的TLS/SSL证书。它可以方便地用于开发和QA环境,生成开发过程中所需的客户端和服务器证书,以及证书颁发机构(CA)证书tls-gen的优势在于其易于使用,通过...
SSL/TLS 的工作原理
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
11-10 1196
HTTPS 之所以能达到较高的安全性要求,就是结合了 SSL/TLS 和 TCP 协议,对通信数据进行加密,解决了 HTTP 数据透明的问题。接下来重点介绍一下 SSL/TLS 的工作原理
tls-gen:生成对开发有用的自签名x509TLSSSL证书
04-29
TLS / SSL证书生成tls-gen是基于OpenSSL的工具,可生成用于开发和QA环境的自签名证书。 该项目最初是从许多测试套件中提取的。 它能做什么 tls-gen生成一个自签名的证书颁发机构(CA)证书以及两对或更多对密钥:客户端和服务器,所有这些均使用单个命令。 它支持多个配置文件,这些配置文件生成不同长度和“形状”的证书链。 私钥可以使用RSA以及生成。 先决条件 tls-gen要求 openssl PATH Python 3.5或更高版本(作为python3 (不支持旧版本) make 用法 证书颁发机构(CA)和证书可以形成链。 tls-gen提供了几个“配置文件”,它们可以生成不同种类的证书链: :具有签名的叶子证书/密钥对的根CA :具有多个共享中介证书和由中介签名的叶对的根CA :具有两个中间证书(一个用于服务器,一个用于客户端)和由中间人
tls/ssl证书生成和格式转换
weixin_30539625的博客
05-01 377
tls/ssl证书生成和格式转换 生成密钥:openssl genrsa -out privkey.pem 2048 生成csr申请文件:openssl req -sha256 -new -key privkey.pem-out pubkey.pem 生成自签名证书:openssl x509 -req -days 365 -in my.c...
【rsyslog系列】Rsyslog TLS证书制作
day day up
11-12 1342
rsyslog tls证书制作
为etcd集群生成TLS证书
Niklauson的博客
08-02 620
etcd集群认证生成
TLS证书验证过程
新手写博客的专栏
09-19 861
证书颁发机构签发的根证书内包含根证书颁发机构的公钥,并且该根证书嵌入在浏览器中,然后,根证书颁发机构也会用自己的私钥给中间证书颁发机构产生的证书进行签名,接下来,中间证书颁发机构会用自己的私钥给服务器证书进行签名。所以,连接服务器的用户最终拿到的是包含中间证书颁发机构的证书和服务器证书,用户应当用中间证书颁发机构的公钥验证服务器证书的签名,并用保存在自己浏览器的根证书颁发机构的公钥验证中间证书的签名,对吗?中间证书的签名是由根证书颁发机构签发的,客户端验证中间证书是为了建立信任链,以验证服务器证书
SSL/TLS加密证书生成(二)
zmb419的博客
12-24 419
client为beats(Elastic组件)的server和client证书生成 以filebeat配置为例,其他的bests类似  1.配置openssl 在生成证书的主机配置 编辑/etc/pki/tls/openssl.cnf 找到[ v3_ca ] 在底下添加 subjectAltName = IP:your_ip  即可 subjectAltName = IP:192.1...
快速生成tls证书相关文件enable https
Allocator的优快云博客
04-27 261
平常开发过程中需要服务enable https, 涉及到CA证书和服务端证书秘钥, 但是由于openssl命令平时使用不多,每一次都要去搜索一下怎么用,于是在此处记录一下快速生成tls证书相关文件的openssl命令,使用时方便查询。这里生成证书带san, 适合生成。,假设需要证书的网站二级域名是。的以https协议访问服务器., 使用如下指令生成ca证书。作为域名的服务, 将。配置给浏览器且设置为。的证书即可实现浏览器。
使用OpenSSL生成自签名SSL/TLS证书和私钥
qq_40898875的博客
12-25 2022
使用OpenSSL生成自签名SSL/TLS证书和私钥
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值