证书链,根证书,证书服务器

证书链,根证书,证书服务器

https证书中包含的文件ca.cer中间证书和根证书nginx.cn.cer您申请的ssl证书fullchain.cer中包含的ca.cer和nginx.cn.cer的所有链证书nginx.cn.key证书

操作系统上预安装的一些根证书是国际权威的证书颁发机构,如verisign和ENTRUST。

我们正常申请的ssl证书都是这些根证书的孙子证书。 根证书颁发中间证书,中间证书颁发ssl证书。

证书链的顺序是ssl证书中间证书根证书。 证书链上的每个证书由相邻证书颁发。

证书作为链存在,并且只有当整个链的证书有效时,才会认为当前证书是合法的。

最上层是root,所谓的CA,用于发行证书的最下层是end-user,对应的是各网站购买使用的ssl证书的中间层是intermediates,是二次CA,该层继续分为多层,由root向end-user发送证书在浏览器中验证证书的顺序首先检查购买的ssl证书的颁发者是否是受信任的根证书,否则证书颁发机构检查是否由受信任的根证书颁发。 否则,表示证书是可信的,直到找到受信任的根证书,否则表示不可信。

根证书用于颁发证书,不参与通信,通常包含在客户端浏览器中。 如果服务器上没有安装中间证书,一些非主流浏览器、安卓移动设备可能无法验证ssl证书的真实性,因此为了与所有客户端兼容,服务器需要安装中间证书

例如,虽然从证书2购买了证书3,但是证书2不是默认地包含在浏览器类型中的受信任证书,而是中间证书2是由根证书1发布的证书。 如果服务器只发送证书3但不包含证书2,则浏览器无法找到证书3的颁发者证书2,整个证书的验证链断开,证书在浏览器中无效,证书为“Invalid   certificate”或“Invalid  certificate”

总结根证书是由第三方受大家信任的认证机构自签名的证书,通常内置于浏览器中。

服务器证书是包含“ssl证书中间证书”的证书链。 一些未知的中间证书没有内置浏览器。 服务器必须将ssl证书与中间证书一起发送到浏览器。 如果证书链不完整,这些浏览器将不会信任你的证书。

用户证书有两种理解。 如果证书颁发机构和服务器可以理解为您申请的ssl证书,则在服务器-客户端交互中是客户端(如USD  )的证书。

大家可能有疑问,要在服务器上安装根证书吗? 从上面的分析可以看出,浏览器内置了根证书,不需要将根证书添加到服务器的证书链中。

中间证书的安装方法因web服务器而异。 apache有一个变量sslCertificateChainFile,它支持中间证书bundle。 Nginx要求将SSL证书和中间证书打包到一个文件中。

证书格式转换cer和pem格式文件都是证书文件,key文件是私钥文件,证书颁发机构向客户发布这两种格式的文件。

从pem或cer格式转换为JKS格式的文件包含公钥和私钥的第一步。 在openssl命令行中输入以下命令,将pem或cer证书转换为pfx格式: 回车后需要输入两次密码

pkcs12 -导出- outserver.pfx-inkey  server.key-in  server.PEM  (server.cer  ) ) ) ) ) ) ) ) )。

步骤2 :在命令行中使用Java  keytool工具将pfx文件转换为jks文件

keytool-import  keystore-srckeystoreserver.pfx-destkeystoreserver.jks-srcstoretypepkcs  12-deststoretypepks

要将pem格式的证书转换为cer格式,请先从终端的cd放在文件目录下,然后

OpenSSL  x509-outform  der-in  XXX.PEM-out  yyy.cer

或者,双击pem文件将其导入密钥列,然后在密钥列中右键单击将其导出

(xxx是原始证书的名称,yyy是通过转换格式生成的证书的名称)

要将crt格式转换为der格式,请先从终端的cd移动到文件目录,然后单击

OpenSSL  x509-in  XXX.CRT-out  yyy.der-outform  der

(xxx是原始证书的名称,yyy是通过转换格式生成的证书的名称)


HTTP、HTTPS、SSL、TLS、CA证书、CSR(列表、list、全)HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 证书链,根证书,证书服务器

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!