ca中心

https详解 目前大部分大型网站已经全部切换到了 https 服务，所以很有必要了解整个 https 的原理， https 是如何保证信息安全的。这里希望大家对以下部分名词有一定的了解： 数字证书 是互联网通信中的身份标识(主要是用户身份信息和公钥)，一般由CA中心颁发，既CA认证中心，或第三方权威机构。数字证书上通常包括：CA的签名，证书所有人的公钥，CA中心的签名算法，指纹以及指纹算法，证书的唯一编号，版本，有效期等。 数字签名、签名算法 对信息的摘要【通过 hash算法 / 摘要算法 / 指纹算法 计算的信息 摘要 / hash值 】使用签名算法进行加密，得到的密文就叫做数字签名 指纹、指纹算法/摘要算法【hash值计算】 对消息使用 hash算法/摘要算法 进行单向处理，获取一个固定长度的信息的 摘要/hash值 。 非对称加密 可以使用公钥、私钥分解进行对应的加密、解密的算法，即加解密使用的是不同的一堆秘钥。 对称加密 使用相同秘钥进行加解密的算法 公钥、私钥 非对称加解密的一对秘钥。 https服务部署过程和原理 了解 https 的原理，最好的方法就是走一遍流程，理论上的流程和原理通过以下几点来解释： 证书申请 证书信任 密文通信 证书的获取 https 的关键之一就是 ssl 证书，为了保证证书的安全有效性，在各类委员会/厂商之间合作

加密：加密与解密是同一秘钥称为对称加密，用公钥加密、用私钥解密称为非对称加密。 CA：证书中心"（certificate authority，简称CA），为需认证的公钥做认证的机构。CA用自己的私钥（标记为CA私钥）对需认证的公钥（如公钥AB）和相关信息进行加密，就生成数字证书。数字证书要用CA提供的公钥（标记为CA公钥）解密，这样就可以得到被认证的公钥与相关信息。 （A方）加签：先用Hash函数对数据生成数据的摘要，再使用私钥（标记为私钥AB），对这个摘要加密，就生成数字签名。将这个数字签名和数据一起发送给B方，称为“加入数字签名”过程，简称加签。 （B方）验签：收到A方的数字签名和数据后，取出数字签名，用公钥（标记为公钥AB）解密，如果能得到摘要信息，说明的确是持有与该公钥匹配的私钥的发送方（A方）发出。对收到的数据使用Hash函数生成摘要，将得到的摘要结果，与解密出来的摘要进行对比。如果两者一致，就证明数据未被修改过。这个过程称为验证数字签名，简称验签。 比较复杂的情况是，B方持有公钥AB被C方的流氓软件篡改为公钥BC，但B方还不知道被篡改了。若C方发送它生成的数字签名和数据到B方，B方用被篡改的公钥能解密出摘要并且对比摘要信息也没问题，则B方会误认为该数据和数字签名还是A方发出。所以需要CA对公钥AB和相关信息做成数字证书，A方向B方传输数据时，不仅附上A方数据签名

目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 译： How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件： 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统，也不作为一个选择。实际上，这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反，这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务，保存了一条SSL证书记录。证书日志有三条重要的特性： 只能追加--证书只能被添加到日志中；证书不能被删除，修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为，或验证SSL证书已被正确地添加到日志中。 日志数量不必太大：需要足够的日志来保证日志失败或临时中断，但是还不能多到让监控变的困难--例如，超过10条但远小于1000条。每条日志的操作要独立于其他日志（也就是，日志间没有自动复制）。 日志的只能追加的性质允许使用特殊类型的加密哈希来验证日志没有损坏

目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 译： How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件： 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统，也不作为一个选择。实际上，这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反，这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务，保存了一条SSL证书记录。证书日志有三条重要的特性： 只能追加--证书只能被添加到日志中；证书不能被删除，修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为，或验证SSL证书已被正确地添加到日志中。 日志数量不必太大：需要足够的日志来保证日志失败或临时中断，但是还不能多到让监控变的困难--例如，超过10条但远小于1000条。每条日志的操作要独立于其他日志（也就是，日志间没有自动复制）。 日志的只能追加的性质允许使用特殊类型的加密哈希来验证日志没有损坏

目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件： 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统，也不作为一个选择。实际上，这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反，这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务，保存了一条SSL证书记录。证书日志有三条重要的特性： 只能追加--证书只能被添加到日志中；证书不能被删除，修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为，或验证SSL证书已被正确地添加到日志中。 日志数量不必太大：需要足够的日志来保证日志失败或临时中断，但是还不能多到让监控变的困难--例如，超过10条但远小于1000条。每条日志的操作要独立于其他日志（也就是，日志间没有自动复制）。 日志的只能追加性质允许使用特殊类型的加密哈希来验证日志没有损坏

本节聊的话题是数字证书。先来个预警，没有婚姻的社会里面，没有人能理解结婚证是干什么的，同理，不理解公开密钥加密技术的加密通信和数字签名这两个概念，也不会理解数字证书什么用。这些话题之前，前面小节中咱们都聊过了，不知道你有没有记住呢？好，那么什么是数字证书，发证机构的作用是什么，加密通信和数字签名过程中证书发挥什么作用呢？下面一一揭晓。 一. 什么是数字证书？ 先给出一个精确的定义，究竟什么是数字证书呢？数字证书是一个由可信的第三方发出的， 用来证明所有人身份以及所有人拥有这个公钥的电子文件。 拿出一份典型的数字证书，看看里面到底都包含哪几项内容。 首先是发证机构 CA。 第二个是所有人姓名，例如 Peter 。 第三个是所有人公钥，以及公钥的过期时间。 最后一项就是 CA 的数字签名。 好，根据咱们已有的数字签名的知识，可以得出几个结论。 首先，数字签名是 CA 发出的，也就是说 CA 用自己的信用为这个证书做背书。 第二点，证书上同时带有所有人信息和公钥，数字签名保证了证书是不可篡改的，所以说，只要大家信任 CA ，就可以信任所有人和公钥之间的绑定关系。 所以说，数字证书就是第三方机构发行的证书，主要作用就是证明你的公钥的确是属于你的，而公钥其实就是我们在数字世界的身份，所以说数字证书的作用实际上就是证明你是你自己。 二. 数字证书的作用 下面我们详细说说数字证书的作用

1. 概述 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动，公开密钥基础设施（PKI, Public Key Infrastructure）逐步在国内外得到广泛应用。我们是否真的需要PKI，PKI究竟有什么用？下面通过一个案例一步步地来剖析这个问题。 2. 案例 2.1 案例内容 甲想将一份合同文件通过Internet发给远在国外的乙，此合同文件对双方非常重要，不能有丝毫差错，而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送？ 2.2 问题1 问题1 :最自然的想法是，甲必须对文件加密才能保证不被其他人查看其内容。那么，到底应该用什么加密技术，才能使合同传送既安全又快速呢? 　　可以采用一些成熟的 对称加密算法 ,如DES、3DES、RC5等对文件加密。对称加密采用了对称密码编码技术， 对称加密的特点是文件加密和解密使用相同的密钥 ，即加密密钥也可以用做解密密钥，这种方法在密码学中叫做对称加密算法， 2.3 问题2 问题2: 如果黑客截获此文件，是否用同一算法就可以解密此文件呢? 　　不可以，因为加密和解密均需要两个组件:加密算法和对称密钥，加密算法需要用一个对称密钥来解密，黑客并不知道此密钥。 2.4 问题3 问题3: 既然黑客不知密钥

https://blog.51cto.com/13157015/1966084 PXE自动化安装 https://www.cnblogs.com/ance/p/10265962.html#i4 自制u盘镜像并安装 证书签名过程：1、网页服务器生成证书请求文件；2、认证中心确认申请者的身份真实性；3、认证中心使用根证书的私钥加密证书请求文件，生成证书；4、把证书传给申请者。 一、实验环境 node1　　192.168.40.132　　CA认证中心（ 也要给自己颁发根证书 ） node2　　192.168.40.211　　网页服务器 由于没有真实域名，所以自己搭建一个CA认证中心，实际只要去申请一个就好了。 [root@node1 ~]# rpm -qf `which openssl` openssl-1.0.2k-8.el7.x86_64 //openssl一般默认安装的 [root@node1 ~]# vim /etc/pki/tls/openssl.cnf basicConstraints=CA: TRUE 　　 //第172行，让当前服务器成为CA认证中心 [root@node1 ~]# /etc/pki/tls/misc/CA -newca 　 //新的CAche证书 CA certificate filename (or enter to create) //证书文件名

目录 前言 1 概念 2 环境 3 创建根证书CA 4 颁发证书 4.1 在需要证书的服务器上，生成证书签署请求 4.2 在根证书服务器上，颁发证书 5 测试 5.1 读取test.pfx文件 5.2 读取test.cer文件 前言 最近，被分配了一个任务，完成数字证书管理系统的开发，一开始我是一脸懵逼的，因为以前我对于什么数字证书都没了解过，可谓了一片空白，也不知其是用来干嘛的。于是，我奋发图强，用了一个下午加晚上的时间来脑补这部分概念知识，原来数字证书其实就是网站的身份认证。 1 概念 数字证书是一个经证书授权中心 数字签名 的包含 公开密钥 拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档，可以由权威公正的 第三方机构 ，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。 一般证书分有三类，根证书、服务器证书和客户端证书。 根证书 ，是生成服务器证书和客户端证书的基础，是信任的源头，也可以叫自签发证书，即CA证书。 服务器证书 ，由根证书签发，配置在服务器上的证书。 客户端证书 ，由根证书签发，配置在服务器上，并发送给客户，让客户安装在浏览器里的证书。 接下来，认识了证书的基本概念之后，我们来认识下这几个概念，公钥

1. HTTPS定义 　　Hyper Text Transfer Protocol over Secure Socket Layer，安全的超文本传输协议，网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密，保证会话过程中的安全性。 　　缩写：HTTPS，常称为HTTP over TLS，HTTP over SSL或HTTP Secure 　　两大作用：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 2. 密码学基础　 明文： 明文指的是未被加密过的原始数据。 密文：明文被某种加密算法加密之后，会变成密文，从而确保原始数据的安全。密文也可以被解密，得到原始的明文。 密钥：密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥，分别应用在对称加密和非对称加密上。 对称加密对称加密又叫做私钥加密，即信息的发送方和接收方使用同一个密钥去加密和解密数据。 其加密过程如下：明文 + 加密算法 + 私钥 => 密文 解密过程如下：密文 + 解密算法 + 私钥 => 明文 对称加密中用到的密钥叫做私钥，私钥表示个人私有的密钥，即该密钥不能被泄露。 其加密过程中的私钥与解密过程中用到的私钥是同一个密钥，这也是称加密之所以称之为“对称”的原因