https SSL 自建证书的制作
客户端认证服务器:
正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书:
我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务器比如支付宝www.alipay.com时,SSL协议握手时服务器就会把它的服务器证书发给用户浏览器,而这本服务器证书又是比如VeriSign颁发的,自然就验证通过了。
国内许多公司的做法:自己做根证书CA(自己充当类似于VeriSign的角色),然后让用户下载安装根CA(当然了,其中只含有公钥)到机器中,12306就是这样干的(SRCA就是12306的根证书),然后再自己给自己颁发服务器证书,这样用户机器上也有他的CA,服务器发来的服务器证书也是这本CA颁发的,当然也顺利通过了。
服务器认证客户端:
服务器端通过根CA给客户端颁发客户端证书,在制作客户端证书时加上和机器相关的信息就可以保证在特定的时候某个帐号只能在这台机器上和服务器交换报文,比如我们用支付宝时必须下载安装数字证书时,可以命名这本证书叫"我的笔记本"或者是"公司电脑"之类的,就是支付宝给用户颁发证书,只能在这台机器上用,你换了机器就必须重新申请。建立SSL连接时,先是服务器将自己的服务器证书发给客户端,验证通过后,客户端就把自己的客户端证书发给服务器进行验证,如果通过,再进行后面的处理。
下面来说说如何自己制作根CA证书以及服务器证书和客户端证书:
客户端安装服务器根证书ca.crt到客户端信任证书库中,服务器端安装服务器根证书ca.crt到服务器信任证书库中。
SSL握手时,服务器先将服务器证书server.p12发给客户端,客户端会到客户端信任证书库中进行验证,
因为server.p12是根证书CA颁发的,所以验证通过;然后客户端将客户端证书client.p12发给服务器,同理因为client.p12是根证书CA颁发的,所以验证通过。
先下载安装xca工具,地址是http://xca.hohnstaedt.de/
先用xca创建一本ca证书
xca打开的界面
依次File, New DataBase,选择xdb文件保存路径,再输入密码
切换到Certificates页面,点击New Certificate
出现如下界面
因为要创建根证书,这里选择序号为1的自认证证书,签名算法选择SHA 256,证书模版选择默认CA,再点击Apply all(这个不能漏)如下所示:
再切到Subject页面,填好各个字段,都可以随便填
再点击Generate a new key生产私钥
最后点击OK,CA证书做好了,有效期默认10年
将根证书导出成只包含公钥的证书格式,这本根证书就是放在网站上供用户下载安装,或主动安装到客户机器中的:
制作服务器证书、客户端证书和制作CA证书差不多,只有两个地方不一样:
选择已经制作好的根CA,然后点击New Certificate
签名时,选择使用根证书,这里是hangzhou进行签名颁发,然后证书模版选择服务器(制作客户端证书就选择HTTPS_client),其他都和制作根证书一样,然后点击Apply all(这个一定不能忘),然后再切到Subject、Extension页面填写相应的东西就OK了
制作完成:
然后再将服务器证书导出来,选择p12格式
同理制作客户端证书,并将之导出,也是p12格式的证书,包含私钥
来源:https://blog.csdn.net/erice_e/article/details/53486071
https SSL 自建证书的制作相关推荐
- yum https ssl双向认证 证书申请
本文将着重介绍从ssl证书申请到搭建yum使用https双向认证完成rpm包安装的流程,具体https双向认证的原理在这不做详细的描述,认证的详细描述的原理可以参考: https://blog.csd ...
- 易语言https服务器,E2EE应用服务器套件 - 文档 - [基础教程] 使用HTTPS(SSL) - E2EE易语言网站敏捷开发框架...
使用HTTPS(SSL) 1.申请证书 首先您需要申请SSL/TLS证书. 介绍几个免费SSL证书申请网站: 申请证书的方式网上有很多相关资料,这里就不多做说明了. 申请证书后通常会有以下三个文件: ...
- 浅谈https\ssl\数字证书
在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本 ...
- 自建证书配置HTTPS服务器
说明 1.写这篇博客的初衷是因为最近iOS9出来了,苹果官方默认要求使用HTTPS,所以自己想整一个HTTPS服务器,也想好好了解一下HTTPS通信,也知道了HTTPS其实就是在HTTP的基础上加上了 ...
- https、SSL与数字证书介绍
在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本 ...
- jodd忽略ssl证书_关于java访问https资源时,忽略证书信任问题
java程序在访问https资源时,出现报错 sun.security.validator.ValidatorException: PKIX path building failed: sun.sec ...
- [转]hexo 博客开启 https (SSL 证书)
本文首发于我的个人博客:https://staunchkai.com 我的服务器是腾讯云的,域名是阿里云的,这篇文章用于记录 Hexo 博客开启 https 的过程. 获取证书 这里的 SSL 证书 ...
- ios自己搭建服务器证书,iOS一步一步实现Https自建证书校验
oooO ↘┏━┓ ↙ Oooo ( 踩)→┃你┃ ←(死 ) \ ( →┃√┃ ← ) / _)↗┗━┛ ↖(_/ 我觉得https是iOS开发者要踩的最大的一个坑了,每每看他人写的博客都是只讲理论 ...
- 乌班图配置 https ssl证书
2. 配置证书 在这里,我假设你已经会配置基本的/etc/apache2/sites-available/000-default.conf这个文件来达到已经可以通过 http 的方式来访问你的站点. ...
最新文章
- ImportError: cannot import name 'AccessCalendar'
- 使用函数PIVOT现实数据行转列
- Flink or Spark?实时计算框架在K12场景的应用实践
- Docker的常用管理命令Docker将数据挂载到容器的三种方式
- android内容显示不出来,android – listview不显示任何内容并隐藏数据
- PHP的异常处理异常捕获错误类
- 互联网手机躁动:“周大炮”追逐“雷布斯”
- 互联网晚报 | 4月08日 星期五 | 国家网信办:互联网企业近半年来用工人数保持平稳;特斯拉将推出一款“专用的”自动驾驶出租车...
- RPC-非阻塞通信下的同步API实现原理,以Dubbo为例
- Oracle视图分类及各种操作讲解(超级好文)
- 鲍岳桥:52 岁还在熬夜写代码! | 人物志
- 浅谈MyBatis源码工具类之——Reflector类
- 01-mnist数字识别
- 华为+android+root权限获取root,华为emui5.0系统如何root?华为荣耀v8 emui5.0获取7.0系统的root权限方法...
- c语言编程悬臂梁受力分析,悬臂梁受力分析.doc
- php网站访问卡顿,网站反应慢,经常卡顿是什么原因?怎么解决?
- tp5 mysql悲观锁_thinkphp悲观锁机制处理高并发
- win7旗舰版激活教程
- Windows7旗舰版SP1_32位2018.10(办公版)
- 【专栏】核心篇07| Redis “jio”美的集群模式