SSL 根证书的相关概念
什么是可信任根证书库
我们在浏览一个 HTTPS 网站的时候,服务器会发送证书链,但光有证书链,客户端是不能完成证书校验的,必须在浏览器本地机器上有一张根证书才能完成签名认证,也就是说客户端必须信任根证书才能构建信任基础。各个 CA(证书签发机构) 机构为了开展业务,必须申请将自己的根证书嵌入到各个操作系统平台中,如果申请(向微软、苹果或Linux发布厂家申请)被拒绝,CA 机构将无法开展业务,即如果操作系统厂家不允许某个CA机构在自己的操作系统里打包安装该CA的根证书,则该CA签发的证书是不被认可的。
对于普通用户和开发者来说,一般情况下无需了解可信任根证书库,但是有些情况下,也有可能希望更新本地的可信任根证书库,比如:
(1)在开发环境中应该避免使用线上证书,因为证书和私钥一起保存,由于开发环境比较混乱,容易泄露私钥,从而带来安全风险。
在这种情况下,可以生成一张自签名证书,由于浏览器不信任该证书,访问网站的时候总会提示安全风险,为了避免频繁的提示,可以手动将证书添加到浏览器的可信任根证书库中。
(2)企业内部构建一个私有 CA,然后给自己的业务签发证书,这种情况很常见,比如一些内部管理系统完全可以使用自签发的证书,减少证书申请成本,为避免员工访问的时候提示安全风险,可以将证书添加到浏览器的可信任根证书库中。
Windows 根证书库
微软的操作系统采用 CryptoAPI库, CryptoAPI是密码学底层代码库,它包含系统根证书库,IE、Edge、Windows 平台的 Chrome 用的都是微软的系统根证书库。
微软的系统根证书库保存在注册表中,由于 windows 电脑是一个多用户操作系统,且允许组策略管理,所以根证书库存在于多个位置,比如:
- CERT_SYSTEM_STORE_CURRENT_USER,代表当前登陆用户,对应的证书存储在 HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates 目录。
- CERT_SYSTEM_STORE_LOCAL_MACHINE,代表本机,对应的证书存储在 HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates 目录。
- CERT_SYSTEM_CURRENT_USER_GROUP_POLICY,代表当前用户组策略,对应的证书存储在 HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates 目录。
一般情况下,windows 系统的登陆用户使用的根证书库保存在 CERT_SYSTEM_STORE_CURRENT_USER,微软提供了一个 certmgr 工具管理根证书(实际上操作的是注册表),在 cmd 命令提示符中输入 certmgr 打开证书管理工具,如下图:
对于我们来说,最要关心是“受信任的根证书颁发机构”,所有根证书都存储在这个目录下,可以通过 certmgr 工具和 certmgr 命令行添加或删除根证书。
Chrome 如何在 windows 系统中更新证书
参见:Windows下用OpenSSL生成CA根证书及签发server端证书_白袍小将的博客-CSDN博客
SSL 根证书的相关概念相关推荐
- 添加自签发的 SSL 证书为受信任的根证书
通过 SSL 加密的 HTTPS 连接访问网站时,需要安装并配置一个受信任的 CA 根证书(Trusted CA Root Certificate).平常访问一些加密网站之所以不需要自己安装证书,是因 ...
- SSL证书的根证书和中间根证书的区别
SSL证书的根证书和中间根证书的区别. 什么是根证书? 根证书是指CA机构颁发SSL证书的核心,是信任链的起始点. 根证书是浏览器是否对SSL证书每个浏览器都有一个根证书库?有的浏览器是采用自主的根证 ...
- 卸载计算机安全证书,如何卸载ssl证书_卸载根证书的操作指南_什么是SSL卸载,SSL卸载优点有哪些? - 沃通SSL证书...
ssl卸载 2019-10-31 什么是SSL卸载?今天我们将讨论一个经常出现的问题,对于那些没有IT背景的人来说,这可能会显得特别陌生:什么是SSL卸载?我们将快速概述一下SSL卸载意味着什么,为什 ...
- SSL数字证书(一)CA、根证书与数字证书
数字证书原理(〇)认识SSL SSL数字证书(一)CA.根证书与数字证书 SSL数字证书(二)使用makecert.exe签发证书 SSL数字证书(三)使用 openssl 生成证书 网络安全无疑是现 ...
- SSL数字证书之CA根证书、CA中间证书和SSL证书
[前言] 说一下大背景吧,我们的一个后台服务需要部署在一个没法上外网的环境,但是我们的后台服务需要访问七牛云进行对象存储,于是乎,需要一个代理来完成这个访问,我门采用nginx七层来做这个代理,因为七 ...
- 根证书的有效期与服务器SSL证书一样长吗?
在了解根证书和服务器SSL证书有效期前得先知道他们是什么. 什么是根证书? 根证书是指CA机构颁发SSL证书的核心,是信任链的起始点.每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览 ...
- ssl 证书 根证书_SSL证书
ssl 证书 根证书 In order to be able to safely and securely accept and send sensitive information through ...
- 浅谈https\ssl\数字证书
在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: https:在http(超文本 ...
- Firefox 将导入 Windows 根证书,避免与杀毒软件的冲突
Mozilla 正在进行将 Windows 根证书导入 Firefox 的测试,以防止用户在浏览网页时,与杀毒软件的 SSL 扫描功能发生冲突. 之前用户使用 Firefox 浏览网页时,浏览器使用自 ...
最新文章
- 特斯拉首次达成连续4季度盈利:车卖的少了,钱却挣得多了
- SharePoint 2010 新体验5 - Office Web Applications
- WINCE编译类型DEBUG/RELEASE的问题
- python【蓝桥杯vip练习题库】ALGO-195 1的个数
- 【JavaScript高级程序设计】读书笔记之一 —— 理解函数
- 软考-信息系统项目管理师-项目合同管理
- c语言字符串加减_C语言中指针的介绍
- 我的世界光影mod怎么用_用“戏剧化”光影艺术 唤醒千年沉睡世界!
- HDLBits答案(12)_Verilog移位寄存器
- DeepR —训练TensorFlow模型进行生产
- Docker 管理之 --- 资源限制
- [jQuery案例练习]——锅打灰太狼
- MySQL的相关问题
- manjaro 更新失败
- 对话腾讯天琴赵伟峰:当音乐与科技结合,会碰撞出怎样的火花?
- 使用dd命令测试CPU性能--用Enki学Linux系列(16)
- 数据运营是什么,怎么做,在哪做
- 机器学习中绘制(多标签)PR曲线和F1-score【转载】
- 图像特征点、投影变换与图像拼接
- light Mode:real-time\mixed\Baked