详细讲解 https 证书 openssl 公钥私钥以及 ssh 公钥私钥的生成以及使用
https 自签证书说明
1. https 的流程示意图
https 安全通信机制流程详解:
客户端发送 https 请求,把自身支持的秘钥算法套件(SSL 指定版本、加密组件列表)发送给服务器
服务器判断自身是否支持该算法套件,如果支持则返回证书信息(本质为公钥,包含了证书颁发机构,网址,过期时间等) ,否则断开连接,
客户端解析证书(通过 TLS 协议来完成),验证证书是否有效。如果异常,则会提示是否安装证书,常见的就是浏览器搜索栏左侧出现“X”告警按钮等。
如果证书有效、或者是授信安装证书后,开始传送加密信息(用证书加密后的随机值,供加解密使用)
服务端通过私钥解密加密信息,得到客户端发送来的随机值,然后把内容通过该值进行对称加密。这样一来,除非知道私钥,否则是无法获取加密内容的。
服务端返回加密后的内容
客户端通过前面提到的随机值对加密信息进行解密
证书验证过程
SSL 证书中包含的具体内容有证书的颁发机构、有效期、公钥、证书持有者、签名,通过第三方的校验保证了身份的合法
检验基本信息:首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
校验 CA 机构:浏览器开始查找操作系统中已内置的受信任的证书发布机构 CA,与服务器发来的证书中的颁发者 CA 比对,用于校验证书是否为合法机构颁发;如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
解密证书:如果找到,那么浏览器就会从操作系统中取出 颁发者 CA 的公钥,然后对服务器发来的证书里面的签名进行验证。
比对 hash 值:浏览器使用相同的 hash 算法计算出服务器发来的证书的 hash 值,将这个计算的 hash 值与证书中签名做对比
对比结果一致,则证明服务器发来的证书合法,没有被冒充
此时浏览器就可以读取证书中的公钥,用于后续加密了
扩展:CA 证书
CA 是证书颁发机构的简称,它会给自己签发一个根证书 Root CA,并且 CA 会通过根证书来签发中间证书,授权中间证书颁发机构签发证书的权限,最后由中间证书颁发机构向用户签发用户证书。之所以多一层中间证书是为了保护根证书,减少根证书被攻击或者被破解的风险。当然中间证书可能不止一个。因此通常用户收到的证书是 3 个:根证书、中间证书、用户证书。事实上,申请到的证书只是用户证书,其他 2 个很早就被签发了。
浏览器为何新任 CA 证书呢?
因为 CA 是被 WebTrust 信任的第三方组织,且只有通过 WebTrust 国际安全审计认证的证书颁发机构 CA,其签发的证书才会被各大浏览器信任。根证书库包含浏览器信任的证书颁发机构 CA 的根证书,有的浏览器会自建根证书库,比如 Mozilla Firefox,有的浏览器会使用其他浏览器的根证书库。
浏览器如何校验证书合法性呢?
由于用户证书被中间证书信任,而中间证书被根证书信任,根证书又被浏览器信任,这样一个完整的证书链使得浏览器可以在根证书库内一次检索用户证书、中间证书和根证书,如果能匹配到根证书,那么这一信任链上的所有证书都是合法的。
2. 在 windows 客户端通过 openssl 命令生成
下面是生成自签名证书,仅为测试使用,需要在访问者浏览器导入自己生成的 ca 根证书。生产环境请像 ca 申请证书。 下面红色文字其实就是我们像 ca 申请证书我们需要做的,黑色部分是 ca 实现,并且 ca 的私钥自己保存不会泄露给第三方,ca 用私钥生成的带签名证书会内置到浏览器里面。
// 生成服务器端私钥
openssl genrsa -out server.key 2048
//生成服务端公钥
openssl rsa -in server.key -pubout -out server.pem
//生成 CA 私钥
openssl genrsa -out ca.key 2048
//生成 ca 的 csr 文件
openssl req -config "F:\greensoft\openssl\openssl.cnf" -new -key ca.key -out ca.csr
//生成 ca 的自签名证书
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
//生成 server.csr 文件
openssl req -config "F:\greensoft\openssl\openssl.cnf" -new -key server.key -out server.csr
//生成带有 ca 签名的证书
Openssl x509 -req -days 365 -sha256 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
3.浏览器导入 ca 的自签名证书 ca.crt
自签名证书需要导入
about:preferences#privacy 隐私与安全 证书 查看证书 个人 导入
4.然后在浏览器打开 https 发现就可以了
导入之后可以忽略警告访问,不导入没法忽略警告继续访问。
ssh 公钥和私钥以及私钥登录服务器的配置
1. 传统的登录 centos 服务器一般我使用 xshell,然后使用密码登录。本文主要介绍如何使用秘钥登录。
2. 创建密钥对,秘钥对指的是公钥和私钥。秘钥对在哪里生成无所谓,比如我可以在 centos 服务器上面生成,我也可以在我本地 windows 生成。最后服务端 centos 配置下公钥文件,本地的 xshell 客户端配置下私钥文件。这样就可以登录了。一般默认 centos 公钥文件保存位置在/root/.ssh/authorized_keys 里面,一行一个,可以有多个公钥。多个公钥对应多个私钥,也就是能够给不同的人分配不同的私钥来使用这台服务器了。如下这种格式。这种公钥格式和我们传统的公钥格式不一样,你可以大概的认为这是 ssh 专属公钥格式。
ssh-rsa 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 root@wltest
ssh-rsa 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 613154514@qq.com
3. windows 下如何生成 ssh 秘钥对
ssh-keygen -t rsa -C "613154514@qq.com"
注意:这里的 xxxxx@xxxxx.com 只是生成的 sshkey 的名称,并不约束或要求具体命名为某个邮箱。
现网的大部分教程均讲解的使用邮箱生成,其一开始的初衷仅仅是为了便于辨识所以使用了邮箱。
-t 参数还支持这些 'ssh-rsa', 'ssh-dss', 'ssh-ed25519', 'ecdsa-sha2-nistp256', 'ecdsa-sha2-nistp384' or 'ecdsa-sha2-nistp521'
比如 ssh-keygen -t ed25519 -C "xxxxx@xxxxx.com"
上图文件.pub 是公钥需要放到 centos 服务器的这个文件里面/root/.ssh/authorized_keys,一行一个多多个,该完记得重启 sshd 服务。
systemctl restart sshd.service
4. 然后本地在 xshell 里面使用私钥+私钥密码形式登录就可以了。Xshell 客户写的是 public key 这里需要注意下,这里是私钥。公钥保存在服务器上面的,私钥在自己手机保存。
5. 如何通过私钥导出公钥,id_rsa 是私钥文文件,new.pub 是导出的公钥文件。私钥有密码保护,所以需要输入正确的密码才能导出成功。
ssh-keygen -y -f id_rsa > new.pub
new.pub 和 id_rsa.pub 公钥内容是一样的。
版权声明: 本文为 InfoQ 作者【Geek_6516e4】的原创文章。
原文链接:【http://xie.infoq.cn/article/1ba6c216260a2faf6631f66e9】。文章转载请联系作者。
评论