• 【密码学】SSL双向认证以及证书的制作和使用


    1. 客户端认证服务器:

      正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书:

      SSL双向认证以及证书的制作和使用0

      我们用的操作系统windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务器比如支付宝www.alipay.com时,SSL协议握手时服务器就会把它的服务器证书发给用户浏览器,而这本服务器证书又是比如VeriSign颁发的,自然就验证通过了。

      国内许多公司的做法:自己做根证书CA(自己充当类似于VeriSign的角色),然后让用户下载安装根CA(当然了,其中只含有公钥)到机器中,12306就是这样干的(SRCA就是12306的根证书),然后再自己给自己颁发服务器证书,这样用户机器上也有他的CA,服务器发来的服务器证书也是这本CA颁发的,当然也顺利通过了。

      SSL双向认证以及证书的制作和使用1

    2. 服务器认证客户端:

      服务器端通过根CA给客户端颁发客户端证书,在制作客户端证书时加上和机器相关的信息就可以保证在特定的时候某个帐号只能在这台机器上和服务器交换报文,比如我们用支付宝时必须下载安装数字证书时,可以命名这本证书叫"我的笔记本"或者是"公司电脑"之类的,就是支付宝给用户颁发证书,只能在这台机器上用,你换了机器就必须重新申请。建立SSL连接时,先是服务器将自己的服务器证书发给客户端,验证通过后,客户端就把自己的客户端证书发给服务器进行验证,如果通过,再进行后面的处理。

    下面来说说如何自己制作根CA证书以及服务器证书和客户端证书:

    SSL双向认证以及证书的制作和使用2

    SSL双向认证以及证书的制作和使用3

    客户端安装服务器根证书ca.crt到客户端信任证书库中,服务器端安装服务器根证书ca.crt到服务器信任证书库中。

    SSL握手时,服务器先将服务器证书server.p12发给客户端,客户端会到客户端信任证书库中进行验证,

    因为server.p12是根证书CA颁发的,所以验证通过;然后客户端将客户端证书client.p12发给服务器,同理因为client.p12是根证书CA颁发的,所以验证通过。

    先下载安装xca工具,地址是http://xca.hohnstaedt.de/

    先用xca创建一本ca证书

    xca打开的界面

    SSL双向认证以及证书的制作和使用4

    依次File, New DataBase,选择xdb文件保存路径,再输入密码

    SSL双向认证以及证书的制作和使用5

    切换到Certificates页面,点击New Certificate

    SSL双向认证以及证书的制作和使用6

    出现如下界面

    SSL双向认证以及证书的制作和使用7

    因为要创建根证书,这里选择序号为1的自认证证书,签名算法选择SHA 256,证书模版选择默认CA,再点击Apply all(这个不能漏)如下所示:

    SSL双向认证以及证书的制作和使用8

    再切到Subject页面,填好各个字段,都可以随便填

    SSL双向认证以及证书的制作和使用9

    再点击Generate a new key生产私钥

    SSL双向认证以及证书的制作和使用10

    SSL双向认证以及证书的制作和使用11

    最后点击OK,CA证书做好了,有效期默认10年

    SSL双向认证以及证书的制作和使用12

    将根证书导出成只包含公钥的证书格式,这本根证书就是放在网站上供用户下载安装,或主动安装到客户机器中的:

    SSL双向认证以及证书的制作和使用13

    制作服务器证书、客户端证书和制作CA证书差不多,只有两个地方不一样:

    1. 选择已经制作好的根CA,然后点击New Certificate

      SSL双向认证以及证书的制作和使用14

      签名时,选择使用根证书,这里是hangzhou进行签名颁发,然后证书模版选择服务器(制作客户端证书就选择HTTPS_client),其他都和制作根证书一样,然后点击Apply all(这个一定不能忘),然后再切到Subject、Extension页面填写相应的东西就OK了

      SSL双向认证以及证书的制作和使用15

      制作完成:

      SSL双向认证以及证书的制作和使用16

      然后再将服务器证书导出来,选择p12格式

      SSL双向认证以及证书的制作和使用17

      同理制作客户端证书,并将之导出,也是p12格式的证书,包含私钥

  • 相关阅读:
    集大软件工程15级结对编程week1
    集大软件工程15级个人作业Week2
    集大软件工程15级个人作业Week1
    Java 课程设计 "Give it up"小游戏(团队)
    Java 课程设计 "Give it up"小游戏设计(个人) 201521123077
    201521123077 《Java程序设计》第14周学习总结
    201521123077 《Java程序设计》第13周学习总结
    2019-助教总结
    软工的总分
    第四次团队作业
  • 原文地址:https://www.cnblogs.com/qiuxiangmuyu/p/6405511.html
Copyright © 2020-2023  润新知