CA

CA含義：

• 指證書(shū)頒發(fā)機(jī)構(gòu)（Certificate Authority），也稱為證書(shū)簽發(fā)機(jī)構(gòu)。它是一個(gè)可信任的實(shí)體，負(fù)責(zé)簽發(fā)、管理和驗(yàn)證數(shù)字證書(shū)的機(jī)構(gòu)。

如何設(shè)置自己的CA：

• 規(guī)劃CA架構(gòu)

• 構(gòu)建基礎(chǔ)設(shè)施

• 安全策略和流程

• 生成根證書(shū)

• 定期更新和審計(jì)

• 分發(fā)證書(shū)

• 保護(hù)私鑰和密鑰

數(shù)字證書(shū)

含義

• 數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件=>戳+身份信息

• 數(shù)字證書(shū)是用于進(jìn)行安全通信和身份驗(yàn)證的重要工具

• 最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名

• 其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證

如何制作

• 數(shù)據(jù)簽名+證書(shū)原信息

理解：

• 要理解數(shù)字證書(shū)，同樣只要搞懂兩個(gè)問(wèn)題即可

• 數(shù)字證書(shū)是什么東西？其實(shí)它就是一個(gè) .crt 文件

• 數(shù)字證書(shū)是誰(shuí)頒發(fā)的？由權(quán)威證書(shū)認(rèn)證機(jī)構(gòu)頒發(fā)，一般我們簡(jiǎn)稱為 CA 機(jī)構(gòu)

• 數(shù)字證書(shū)如何申請(qǐng)的？或者說(shuō)如何頒發(fā)的？

數(shù)字簽名

含義

• 摘要經(jīng)過(guò)私鑰的加密后，便有了一個(gè)新的名字 -- 數(shù)字簽名

• 簽名 是在發(fā)送方，這是一個(gè)加密的過(guò)程。

  驗(yàn)簽 是在接收方，這是一個(gè)解密的過(guò)程。

目的

• 防止數(shù)據(jù)篡改（hash一致性）

如何制作

• CA 擁有非對(duì)稱加密的私鑰和公鑰。

• CA 對(duì)證書(shū)明文信息進(jìn)行 hash。

• 對(duì) hash 后的值用私鑰加密，得到數(shù)字簽名。

根證書(shū)-數(shù)字證書(shū)的起點(diǎn)

含義

• 根證書(shū)是CA體系的最高級(jí)別，是信任鏈的起點(diǎn)

• 根證書(shū)由CA自身創(chuàng)建并簽署

• 您可以使用工具如OpenSSL來(lái)生成根證書(shū)

目的：

• 用于簽發(fā)其他證書(shū)

• 用于驗(yàn)證由該CA簽發(fā)的其他證書(shū)的有效性

• 根證書(shū)通常被內(nèi)置在操作系統(tǒng)、瀏覽器或其他應(yīng)用程序中，作為受信任的根證書(shū)機(jī)構(gòu)，當(dāng)任何由該CA簽發(fā)的證書(shū)出現(xiàn)時(shí)，可以通過(guò)驗(yàn)證其簽名鏈與已知的根證書(shū)進(jìn)行比對(duì)，從而建立信任

與數(shù)字證書(shū)關(guān)系

• 當(dāng)一個(gè)實(shí)體（如網(wǎng)站）被頒發(fā)一個(gè)數(shù)字證書(shū)時(shí)，該證書(shū)將包含一個(gè)或多個(gè)簽名鏈，這些簽名鏈追溯到一個(gè)受信任的根證書(shū)。

• 驗(yàn)證數(shù)字證書(shū)的有效性時(shí)，使用受信任的根證書(shū)的公鑰對(duì)證書(shū)進(jìn)行驗(yàn)證。

• 如果鏈中的每個(gè)證書(shū)都通過(guò)了驗(yàn)證，并且最終可以追溯到受信任的根證書(shū)，那么該數(shù)字證書(shū)將被視為有效和可信任的。

如何制作

• 生成私鑰：首先，您需要生成用于根證書(shū)的私鑰。可以使用工具如OpenSSL來(lái)生成私鑰。在命令行中輸入以下命令：

  ?openssl genpkey -algorithm RSA -out root.key

  這將生成一個(gè)RSA私鑰文件 “root.key”。

• 創(chuàng)建根證書(shū)簽名請(qǐng)求（CSR）：使用私鑰生成根證書(shū)簽名請(qǐng)求。CSR包含了您的CA的詳細(xì)信息和公鑰。在命令行中輸入以下命令：

  ?openssl req -new -key root.key -out root.csr

  這將生成一個(gè)CSR文件 “root.csr”。

• 自簽名根證書(shū)：使用私鑰和CSR自簽名生成根證書(shū)。在命令行中輸入以下命令：

  ?openssl x509 -req -in root.csr -signkey root.key -out root.crt

  這將使用您之前生成的私鑰和CSR生成一個(gè)自簽名的根證書(shū)文件 “root.crt”。

• 設(shè)置證書(shū)相關(guān)信息：在生成根證書(shū)時(shí)，您需要填寫(xiě)一些關(guān)鍵的信息，包括組織名稱、通用名稱（通常是您的CA名稱）、有效期限等。確保提供準(zhǔn)確的信息，并注意設(shè)置一個(gè)適當(dāng)?shù)淖C書(shū)有效期限。

• 在上述步驟完成后，您將獲得一個(gè)包含私鑰和自簽名根證書(shū)的文件。根證書(shū)是您CA體系的最高級(jí)別，用于簽署其他證書(shū)。請(qǐng)確保妥善保管私鑰并限制其訪問(wèn)權(quán)限，以確保根證書(shū)的安全性

• 自簽名根證書(shū)在您的環(huán)境中被認(rèn)為是不受信任的證書(shū)。如果您希望根證書(shū)被廣泛信任，您可以考慮將其根證書(shū)部署到受信任的證書(shū)存儲(chǔ)庫(kù)中，并確保其受到受信任的根證書(shū)機(jī)構(gòu)的支持。

CSR

含義

• CSR是Certificate Signing Request的英文縮寫(xiě)，即證書(shū)簽名請(qǐng)求文件

用法

• 當(dāng)申請(qǐng)者申請(qǐng)數(shù)字證書(shū)時(shí)，CSP（加密服務(wù)提供者）生成私鑰，同時(shí)也生成了CSR文件

• 申請(qǐng)者將CSR文件提交至Certificate Authority （CA）機(jī)構(gòu)后，CA機(jī)構(gòu)使用其根證書(shū)私鑰簽名，從而就生成了數(shù)字證書(shū)

生成方法

• 推薦你使用 ?CSR在線生成工具（https://myssl.com/csr_create.html）