什么是证书链

证书链简单来说是域名钥证书、CA公钥、根证书形成的一个颁发链条,属于公钥的一部分。

更白话一点,就是证书链文件包含一系列CA机构公钥的证书。

证书链格式

一般证书链格式是.chain,证书定义顺序是倒序的,即先权威CA再根CA。

以根CA+一个权威CA举例:

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

证书链中也可包含主体与签发信息,仅用于便于确定证书所属不参与认证,举例:

subject=C = CN, O = XXXX, CN = XXXX RSACA

issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

subject=C = CN, O = XXXX, CN = XXXX ROOT RSACA

issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

合并域名证书与证书链

Nginx等web服务器需要将证书链与域名证书合并成PEM文件,作为公钥直接使用。

域名证书内容如下:

-----BEGIN CERTIFICATE-----

域名公钥

-----END CERTIFICATE-----

证书链如下:

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

其合并证书链方法,即以 域名证书、权威CA证书、根CA证书 顺序,将证书内容复制到同一文件中。

合并结果如下:

-----BEGIN CERTIFICATE-----

域名公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

合并出的证书直接作为公钥证书代替证书。

扩展阅读

P7B提取证书链与公钥证书

P7B格式是同时包含证书链和域名公钥证书的,可以通过openssl命令提取。

以下命令输出证书的顺序是不对的,需要按subject和issuer描述调整顺序,域名证书->权威CA->根CA

## p7b可指定PEM或DER格式,也可以经过base64加密

## 以下列出常见几条命令:

# PEM格式未base64

openssl pkcs7 -inform PEM -print_certs -in xxx.p7b -out public.pem

# DER格式未base64

openssl pkcs7 -inform DER -print_certs -in xxx.p7b -out public.pem

# PEM+base64

base64 -d xxx.p7b | openssl pkcs7 -inform PEM -print_certs -out public.pem

# DER+base64

base64 -d xxx.p7b | openssl pkcs7 -inform DER -print_certs -out public.pem

校验PEM证书与密钥是否配套

# 两者输出同样的md5值说明配套

openssl x509 -noout -modulus -in public.pem |openssl md5

openssl rsa -noout -modulus -in private.key |openssl md5

SSL证书链及使用的更多相关文章

  1. SSL证书链说明

    SSL证书链说明 1. SSL证书链定义 证书颁发机构(CA)共分为两种类型:根CA和中间CA.为了使SSL证书被信任,该证书必须由设备所连接的可信存储库CA颁发. 如果该证书不是由受信任CA,该链接 ...

  2. MQTT研究之EMQ:【SSL证书链验证】

    1. 创建证书链(shell脚本) 客户端证书链关系: rootCA-->chainca1-->chainca2-->chainca3 ca caCert1 caCert2 caCe ...

  3. apache环境下ssl证书链不完整问题解决,原因是缺少中间证书

    事情的起因是,对一个网站的升级,从http升级到https,苹果手机可以正常访问,唯独安卓手机出现空白,安卓访问https的时候是出现的空白. 服务器的系统是windows Server 2008 R ...

  4. nginx配置ssl证书的方法

    Nginx (读音"engine x") 是一个高性能的HTTP和反向代理服务器,比Apache占用更少的内存,同时也像Apache一样支持HTTPS方式访问(SSL加密).本教程 ...

  5. OpenResty之ngx.ssl

    翻译自: ngx.ssl - Lua API for controlling NGINX downstream SSL handshakes 1. 概要 # 注意:如果你使用的是 OpenResty ...

  6. SSL/TLS 协议运行机制概述(一)

    SSL/TLS 协议运行机制概述(一) SSL/TLS 发展史 1994年,NetScape 设计了SSL协议(Secure Sockets Layer) 1.0,未正式发布 1995年,NetSca ...

  7. 【原】AFNetworking源码阅读(六)

    [原]AFNetworking源码阅读(六) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 这一篇的想讲的,一个就是分析一下AFSecurityPolicy文件,看看AF ...

  8. AFNetworking之于https认证

    写在开头: 本来这篇内容准备写在AFNetworking到底做了什么?(三)中的,但是因为我想在三中完结这个系列,碍于篇幅所限.并且这一块内容独立性比较强,所以单独拎出来,写成一篇. 本文从源码的角度 ...

  9. nginx 学习笔记(9) 配置HTTPS服务器--转载

    HTTPS服务器优化SSL证书链合并HTTP/HTTPS主机基于名字的HTTPS主机带有多个主机名的SSL证书主机名指示兼容性 配置HTTPS主机,必须在server配置块中打开SSL协议,还需要指定 ...

  10. AFNetworking 之于 https 认证

    写在开头: 本来这篇内容准备写在AFNetworking到底做了什么?(三)中的,但是因为我想在三中完结这个系列,碍于篇幅所限.并且这一块内容独立性比较强,所以单独拎出来,写成一篇. 本文从源码的角度 ...

随机推荐

  1. 【阅读笔记】超分之LANR-NLM算法

    论文信息 [Single Image Super-Resolution via Locally Regularized Anchored Neighborhood Regression and Non ...

  2. 我真的想知道,AI框架跟计算图什么关系?PyTorch如何表达计算图?

    目前主流的深度学习框架都选择使用计算图来抽象神经网络计算表达,通过通用的数据结构(张量)来理解.表达和执行神经网络模型,通过计算图可以把 AI 系统化的问题形象地表示出来. 本节将会以AI概念落地的时 ...

  3. 懒人的百宝箱「GitHub 热点速览」

    本周 GitHub Trending 除了 lazydocker 之外,还有多个 lazy 项目上线,比如大家熟悉的 lazyvim,可见,这个世界对懒人还是很友好的.除此之外,主打一个密码免输入,绕 ...

  4. asp.net core之配置

    简介 配置在asp.net core中可以说是我们必不可少一部分.ASP.NET Core 中的应用程序配置是使用一个或多个配置提供程序执行的. 配置提供程序使用各种配置源从键值对读取配置数据,普通最 ...

  5. Jenkins-Pipline实现原理

    Jenkins-Pipline原理 本文仅探讨jenkins pipline 的原理,是流水线的一个demo版本实现,不能代表Jenkins pipline的具体实现,仅供参考. 1. Jenkins ...

  6. Angular 报错 Cannot Resolve Module

    file:///E:/C#/angular-client/src/app/app.component.sass?FngResource 一些文件解释不到,最后发现是这个目录的问题,里面有个特殊的字符 ...

  7. 硬件管理平台 - 公共项目搭建(Nancy部分)

    项目变更 之前使用的是Nancy库进行项目搭建的,使用的Nuget版本及其他引用如下 <?xml version="1.0" encoding="utf-8&quo ...

  8. Web通用漏洞--RCE

    Web通用漏洞--RCE 漏洞简介 RCE远程代码/命令执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统. RCE漏洞也分为代码执行漏洞和命令执行漏洞,所谓代码执行 ...

  9. [ABC151E] Max-Min Sums

    2023-03-11 题目 题目传送门 翻译 翻译 难度&重要性(1~10):5 题目来源 AtCoder 题目算法 数学 解题思路 对于一个正数 \(x,x\in A\) 一定会有 \(C_ ...

  10. [ABC128E] Roadwork

    2023-01-14 题目 题目传送门 翻译 翻译 难度&重要性(1~10):4 题目来源 AtCoder 题目算法 区间覆盖,线段树,双堆 解题思路 可以将问题转化为区间覆盖问题和单点查询问 ...