• https nginx openssl 自签名


    公私钥:公钥可以唯一解密私钥加密过的数据,反之亦然。以下用P指代公钥,V指代私钥。
    SSL过程:需要两对公私钥(P1,V1),(P2,V2),假设通信双方是A和B,B是服务器,A要确认和它通信的是B:
    A->B: hello
    B->A: 用V2加密过的P1(即用户证书,A就用P2解密出P1)
    A->B: ok
    B->A: 用V1加密的一段信息
    A->B: 用P1加密一个自动生成的K(用之前的P1解密成功这段信息则认为B是可信的了)
    B->A: 用K加密的数据(之后两对密钥功能结束,由K来加解密数据)
    这里,P2就是第3方的CA证书,由于非对称加密很慢,所以公私钥只是用来保证K的传送安全,之后通信是用K的对称加密算法来保证。

    为什么通过以上过程A就能够确定肯定是B,而不是某个C在假装B了呢?因为这个过程中,B用V1加密过一段信息发给A,A也成功解开了。我们开头谈到公钥(P1)只可以唯一解密私钥(V1)加密过的信息,这样A就可以完全相信B是拥有V1的,而V1是严格保密,只被服务提供公司拥有,所以保证了通信的服务方正确性。

    这里(P2,V2)就是certificate authority (CA)用来给客户签名用的公私钥。
    (P1,V1)是客户自己的公私钥,提交给CA,CA所做的事情就是用(P2,V2)来给客户的(P1,V1)签名,简单吧?
    V2是CA公司要保密的,而P2就是公用CA证书。用V2加密过(签名过)的P1,称为用户证书,一般被安装在服务器端。

    openssl生成自签名证书

     

    方法一:

    生成私钥

    openssl genrsa -out server.key 1024

    用私钥生成自签名的cer证书格式文件
    openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"

    方法二:

    生成私钥

    openssl genrsa -out server.key 1024

    根据私钥生成证书申请

    openssl req -new -key server.key -out server.csr

    用私钥对证书申请进行签名生成证书

    openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

     方法三:

    openssl req -new -x509 -keyout server.key -out server.crt -config openssl.cnf

    以上生成得到的server.crt证书,格式都是pem的。

     
     
  • 相关阅读:
    调用 验证码
    始终居中的弹出层
    jq常用
    ThinkPHP redirect 方法
    session 的生成和删除
    1355:字符串匹配问题(strs)
    1348:【例49】城市公交网建设问题
    1357:车厢调度(train)
    1358:中缀表达式值(expr)
    1351:【例412】家谱树
  • 原文地址:https://www.cnblogs.com/SZLLQ2000/p/5434875.html
Copyright © 2020-2023  润新知