什么是证书链

证书链简单来说是域名钥证书、CA公钥、根证书形成的一个颁发链条,属于公钥的一部分。

更白话一点,就是证书链文件包含一系列CA机构公钥的证书。

证书链格式

一般证书链格式是.chain,证书定义顺序是倒序的,即先权威CA再根CA。

以根CA+一个权威CA举例:

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

证书链中也可包含主体与签发信息,仅用于便于确定证书所属不参与认证,举例:

subject=C = CN, O = XXXX, CN = XXXX RSACA

issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

subject=C = CN, O = XXXX, CN = XXXX ROOT RSACA

issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

合并域名证书与证书链

Nginx等web服务器需要将证书链与域名证书合并成PEM文件,作为公钥直接使用。

域名证书内容如下:

-----BEGIN CERTIFICATE-----

域名公钥

-----END CERTIFICATE-----

证书链如下:

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

其合并证书链方法,即以 域名证书、权威CA证书、根CA证书 顺序,将证书内容复制到同一文件中。

合并结果如下:

-----BEGIN CERTIFICATE-----

域名公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

权威CA公钥

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

根CA公钥

-----END CERTIFICATE-----

合并出的证书直接作为公钥证书代替证书。

扩展阅读

P7B提取证书链与公钥证书

P7B格式是同时包含证书链和域名公钥证书的,可以通过openssl命令提取。

以下命令输出证书的顺序是不对的,需要按subject和issuer描述调整顺序,域名证书->权威CA->根CA

## p7b可指定PEM或DER格式,也可以经过base64加密

## 以下列出常见几条命令:

# PEM格式未base64

openssl pkcs7 -inform PEM -print_certs -in xxx.p7b -out public.pem

# DER格式未base64

openssl pkcs7 -inform DER -print_certs -in xxx.p7b -out public.pem

# PEM+base64

base64 -d xxx.p7b | openssl pkcs7 -inform PEM -print_certs -out public.pem

# DER+base64

base64 -d xxx.p7b | openssl pkcs7 -inform DER -print_certs -out public.pem

校验PEM证书与密钥是否配套

# 两者输出同样的md5值说明配套

openssl x509 -noout -modulus -in public.pem |openssl md5

openssl rsa -noout -modulus -in private.key |openssl md5

SSL证书链及使用的更多相关文章

  1. SSL证书链说明

    SSL证书链说明 1. SSL证书链定义 证书颁发机构(CA)共分为两种类型:根CA和中间CA.为了使SSL证书被信任,该证书必须由设备所连接的可信存储库CA颁发. 如果该证书不是由受信任CA,该链接 ...

  2. MQTT研究之EMQ:【SSL证书链验证】

    1. 创建证书链(shell脚本) 客户端证书链关系: rootCA-->chainca1-->chainca2-->chainca3 ca caCert1 caCert2 caCe ...

  3. apache环境下ssl证书链不完整问题解决,原因是缺少中间证书

    事情的起因是,对一个网站的升级,从http升级到https,苹果手机可以正常访问,唯独安卓手机出现空白,安卓访问https的时候是出现的空白. 服务器的系统是windows Server 2008 R ...

  4. nginx配置ssl证书的方法

    Nginx (读音"engine x") 是一个高性能的HTTP和反向代理服务器,比Apache占用更少的内存,同时也像Apache一样支持HTTPS方式访问(SSL加密).本教程 ...

  5. OpenResty之ngx.ssl

    翻译自: ngx.ssl - Lua API for controlling NGINX downstream SSL handshakes 1. 概要 # 注意:如果你使用的是 OpenResty ...

  6. SSL/TLS 协议运行机制概述(一)

    SSL/TLS 协议运行机制概述(一) SSL/TLS 发展史 1994年,NetScape 设计了SSL协议(Secure Sockets Layer) 1.0,未正式发布 1995年,NetSca ...

  7. 【原】AFNetworking源码阅读(六)

    [原]AFNetworking源码阅读(六) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 这一篇的想讲的,一个就是分析一下AFSecurityPolicy文件,看看AF ...

  8. AFNetworking之于https认证

    写在开头: 本来这篇内容准备写在AFNetworking到底做了什么?(三)中的,但是因为我想在三中完结这个系列,碍于篇幅所限.并且这一块内容独立性比较强,所以单独拎出来,写成一篇. 本文从源码的角度 ...

  9. nginx 学习笔记(9) 配置HTTPS服务器--转载

    HTTPS服务器优化SSL证书链合并HTTP/HTTPS主机基于名字的HTTPS主机带有多个主机名的SSL证书主机名指示兼容性 配置HTTPS主机,必须在server配置块中打开SSL协议,还需要指定 ...

  10. AFNetworking 之于 https 认证

    写在开头: 本来这篇内容准备写在AFNetworking到底做了什么?(三)中的,但是因为我想在三中完结这个系列,碍于篇幅所限.并且这一块内容独立性比较强,所以单独拎出来,写成一篇. 本文从源码的角度 ...

随机推荐

  1. Flutter ncnn 使用

    Flutter 实现手机端 App,如果想利用 AI 模型添加新颖的功能,那么 ncnn 就是一种可考虑的手机端推理模型的框架. 本文即是 Flutter 上使用 ncnn 做模型推理的实践分享.有如 ...

  2. Codeforces Round #885 (Div. 2) A-D

    比赛链接 A 代码 #include <bits/stdc++.h> using namespace std; using ll = long long; bool solve() { i ...

  3. [SDOI2008] 仪仗队【题解】

    题目描述 作为体育委员,C 君负责这次运动会仪仗队的训练.仪仗队是由学生组成的 \(N \times N\) 的方阵,为了保证队伍在行进中整齐划一,C 君会跟在仪仗队的左后方,根据其视线所及的学生人数 ...

  4. C语言链表实现(郝斌数链表学习笔记)

    #include "stdafx.h" #include<stdio.h> #include<stdlib.h> typedef struct Node { ...

  5. Prometheus-5:relabel标签重新打标

    Prometheus relabel重新打标 对target重新打标是在数据抓取之前动态重写target标签的强大工具,在每个数据抓取配置中,可以定义多个relabel步骤,它们将按照定义的顺序依次执 ...

  6. error: Microsoft Visual C++ 14.0 or greater is required. Get it with "Microsoft C++ Build Tools": https://visualstudio.microsoft.com/visual-cpp-build-tools/

    解决办法: python3 是用 VC++ 14 编译的, python27 是 VC++ 9 编译的, 安装 python3 的包需要编译的也是要 VC++ 14 以上支持的.可以下载安装这个:vi ...

  7. mybatis-plus+nacos配置中心和服务发现保姆级教程

    默认你已经看了我的Mybatis-Plus+Mysql的教程,现在有了一个简单的项目如下(之前的教程:  https://www.cnblogs.com/leafstar/p/17638741.htm ...

  8. 在centos7.X下安装Java

    发布于 2 分钟前  2 次阅读 1.创建JDK目录 mkdir /opt/jdk 2.通过finalshell或xftp将jdk上传到/opt/jdk目录中 3.cd /opt/jdk 4.解压jd ...

  9. 通过snmp获取设备每个接口的配置IP地址,网段信息和VLAN接口号

    第一部分,观察通过snmp OID能获取的信息,对信息进行关联. 1.通过 snmp获取到接口IP地址和掩码信息,发现IP地址作为索引值: 2.每个IP地址的索引,都可以关联到接口的索引 3.每个接口 ...

  10. WPF开发必备

    类库 1.XamlFlair The goal of the XamlFlair library is to ease the implementation of common animations ...