发现了一篇图文并茂的超棒的  加密解密, CA, PKI, SSL 的基础文章, 链接如下:https://blog.csdn.net/lifetragedy/article/details/52238057 简要描述一下概念: PKI: Public Key Infrastructure, 公钥体系 包含, CA, RA, CRL,证书存取库 CA: 证书签发机构 RA: 证书注册机构 X.509是证书标准规范, 定义了证书的结构以及认证协议标准, 现在使用多为v3版本 SSL: Secure…

加密解密基础 1. 对称加密: 加密和解密使用同一个密钥 常见的加密算法有:DES.3DES.AES.Blowfish.Twofish.IDEA.RC6.CAST5 特性: 1. 加密.解密使用同一个密钥 2.将原始数据分隔成固定大小的块,逐个进行加密 缺陷: 1. 密钥过多 2. 密钥分发困难 2. 公钥加密: 密钥是成对出现的 公钥:pubkey,公开给所有人 私钥:secret key, 自己留存,必须保证其私密性 常见的加密算法有: RSA.DSA(只能用于数字签名,不能用于数据加密),…

openssl  生成私有CA 及签署证书 openssl 配置文件: /etc/pki/tls/openssl.cnf 1. 在openssl CA 服务器端生成私钥 cd /etc/pki/CA/private/ (umask 077;openssl genrsa -out ./cakey.pem 4096) (     )             : 表示在子shell中运行进程 umask 077   : 表示文件仅自己可读写 genrsa          :  使用rsa 加密方式生…

自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信   如果你的规划需要创建多个证书,那么使用私有CA的方法比较合适,因为只要给所有的客户端都安装了CA的证书,那么以该证书签名过的证书,客户端都是信任的,也就是安装一次就够了 如果你直接用自签名证书,你需要给所有的客户端安装该证书才会被信任,如果你需要第二个证书,则还的挨个给所有的客户端安装证书2才会被信任.       证书类型: x509的证…

一.创建私有CA 1.创建所需要的文件 2.创建私有密钥 3.CA自签证书 -new: 生成新证书签署请求:               -x509: 专用于CA生成自签证书:不自签的时候不要加该选项               -key: 生成请求时用到的私钥文件;              -days n:证书的有效期限:              -out /PATH/TO/SOMECERTFILE: 证书的保存路径:     填写信息时,Common Name选项一定要与写成服务器名字,…

OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 在前文<使用 OpenSSL 创建私有 CA:2 中间证书>中我们介绍了如何创建中间证书,并生成证书链.本文我们将介绍如何为应用生成用户证书(web 站点的 ssl 证书),并把证书部署到应用服务器上和客户端上.说明:本系列文章的演示环境为 Ubuntu 18.04,OpenSSL 的版本为 1.1.0g.…

OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 本文将在前文<使用 OpenSSL 创建私有 CA:1 根证书>的基础上介绍如何为私有 CA 创建中间证书.说明:本系列文章的演示环境为 Ubuntu 18.04,OpenSSL 的版本为 1.1.0g. 为什么要创建中间证书? 使用 CA 的根证书是可以直接签发用户证书的,那么为什么还还要创建中间证书呢?…

OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 根证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 OpenSSL 是一个免费开源的库,它提供了一些处理数字证书的命令行工具.其中一些工具可以用作证书颁发机构(Certificate Authority 即 CA).证书颁发机构(CA)是签署数字证书的实体.许多网站需要让他们的客户知道连接是安全的,所以需要从一个被广泛信任的CA(例如VeriSign, Dig…

PKI 基础知识 摘要 本白皮书介绍了加密和公钥基本结构(PKI)的概念和使用 Microsoft Windows 2000 Server 操作系统中的证书服务的基础知识.如果您还不熟悉加密和公钥技术,先阅读本白皮书将有助于理解 Windows 2000 Web 站点上有关这些主题的其它技术白皮书. 引言 Microsoft Windows 2000 证书服务提供的集成的公钥基本结构(PKI)使电子商务能够在安全的环境中进行.本白皮书介绍了加密和 PKI 的概念.理解这些相关概念是理解证书服务功…

1.编辑/etc/pki/tls/openssl.cnf [ CA_default ] dir             = /etc/pki/CA           # 工作目录certs           = $dir/certs            # 客户端证书保存位置crl_dir         = $dir/crl              # 证书吊销列表database        = $dir/index.txt #证书列表new_certs_dir   = $dir/…