详细讲解https证书openssl公钥私钥以及ssh公钥私钥的生成以及使用

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 详细讲解https证书openssl公钥私钥以及ssh公钥私钥的生成以及使用

https自签证书说明

1. https的流程示意图

 

图片.png

 

https安全通信机制流程详解:

客户端发送 https 请求,把自身支持的秘钥算法套件(SSL 指定版本、加密组件列表)发送给服务器

服务器判断自身是否支持该算法套件,如果支持则返回证书信息(本质为公钥,包含了证书颁发机构,网址,过期时间等) ,否则断开连接,

客户端解析证书(通过 TLS 协议来完成),验证证书是否有效。如果异常,则会提示是否安装证书,常见的就是浏览器搜索栏左侧出现“X”告警按钮等。

如果证书有效、或者是授信安装证书后,开始传送加密信息(用证书加密后的随机值,供加解密使用)

服务端通过私钥解密加密信息,得到客户端发送来的随机值,然后把内容通过该值进行对称加密。这样一来,除非知道私钥,否则是无法获取加密内容的。

服务端返回加密后的内容

客户端通过前面提到的随机值对加密信息进行解密

 

证书验证过程

SSL 证书中包含的具体内容有证书的颁发机构、有效期、公钥、证书持有者、签名,通过第三方的校验保证了身份的合法

检验基本信息:首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验

校验 CA 机构:浏览器开始查找操作系统中已内置的受信任的证书发布机构 CA,与服务器发来的证书中的颁发者 CA 比对,用于校验证书是否为合法机构颁发;如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。

解密证书:如果找到,那么浏览器就会从操作系统中取出 颁发者 CA 的公钥,然后对服务器发来的证书里面的签名进行验证。

比对 hash 值:浏览器使用相同的 hash 算法计算出服务器发来的证书的 hash 值,将这个计算的 hash 值与证书中签名做对比

对比结果一致,则证明服务器发来的证书合法,没有被冒充

此时浏览器就可以读取证书中的公钥,用于后续加密了

扩展:CA 证书

CA 是证书颁发机构的简称,它会给自己签发一个根证书 Root CA,并且 CA 会通过根证书来签发中间证书,授权中间证书颁发机构签发证书的权限,最后由中间证书颁发机构向用户签发用户证书。之所以多一层中间证书是为了保护根证书,减少根证书被攻击或者被破解的风险。当然中间证书可能不止一个。因此通常用户收到的证书是 3 个:根证书、中间证书、用户证书。事实上,申请到的证书只是用户证书,其他 2 个很早就被签发了。

浏览器为何新任 CA 证书呢?

因为 CA 是被 WebTrust 信任的第三方组织,且只有通过 WebTrust 国际安全审计认证的证书颁发机构 CA,其签发的证书才会被各大浏览器信任。根证书库包含浏览器信任的证书颁发机构 CA 的根证书,有的浏览器会自建根证书库,比如 Mozilla Firefox,有的浏览器会使用其他浏览器的根证书库。

浏览器如何校验证书合法性呢?

由于用户证书被中间证书信任,而中间证书被根证书信任,根证书又被浏览器信任,这样一个完整的证书链使得浏览器可以在根证书库内一次检索用户证书、中间证书和根证书,如果能匹配到根证书,那么这一信任链上的所有证书都是合法的。

2. 在windows客户端通过openssl命令生成

下面是生成自签名证书,仅为测试使用,需要在访问者浏览器导入自己生成的ca根证书。生产环境请像ca申请证书。 下面红色文字其实就是我们像ca申请证书我们需要做的,黑色部分是ca实现,并且ca的私钥自己保存不会泄露给第三方,ca用私钥生成的带签名证书会内置到浏览器里面。

// 生成服务器端私钥

openssl genrsa -out server.key 2048 

 

//生成服务端公钥

openssl rsa -in server.key -pubout -out server.pem

 

//生成CA私钥

openssl genrsa -out ca.key 2048

 

//生成ca的csr文件

openssl req  -config "F:\greensoft\openssl\openssl.cnf"   -new -key ca.key -out ca.csr

 

//生成ca的自签名证书

openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

 

//生成server.csr文件

openssl req  -config "F:\greensoft\openssl\openssl.cnf"  -new -key server.key -out server.csr

 

//生成带有ca签名的证书

Openssl  x509  -req  -days  365   -sha256 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

 

3.浏览器导入ca的自签名证书ca.crt

自签名证书需要导入

about:preferences#privacy   隐私与安全  证书  查看证书   个人   导入

 

4.然后在浏览器打开https发现就可以了

导入之后可以忽略警告访问,不导入没法忽略警告继续访问。

 

 

ssh公钥和私钥以及私钥登录服务器的配置

1. 传统的登录centos服务器一般我使用xshell,然后使用密码登录。本文主要介绍如何使用秘钥登录。

2. 创建密钥对,秘钥对指的是公钥和私钥。秘钥对在哪里生成无所谓,比如我可以在centos服务器上面生成,我也可以在我本地windows生成。最后服务端centos配置下公钥文件,本地的xshell客户端配置下私钥文件。这样就可以登录了。一般默认centos公钥文件保存位置在/root/.ssh/authorized_keys里面,一行一个,可以有多个公钥。多个公钥对应多个私钥,也就是能够给不同的人分配不同的私钥来使用这台服务器了。如下这种格式。这种公钥格式和我们传统的公钥格式不一样,你可以大概的认为这是ssh专属公钥格式。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDr3vyxyQ/XHj3TkmjhheY0JAG6lLEUyDSdksNQ+a4meC7Jlhj+bAi7RGcJO1JxpewsgIC9dbl9lDWcrJm6ZXVwqevIbbzVIQsfpGPxJJaElI6oDPaQ/T24yVbULUoXTvYxldzMsU/6l2RNe+PwtWz0MeQl6jdTqqEk6T1rBvgA4PIymhndBcq3RCYBNl4ghIL1HiK9nyXtD4n58qhawEreBepQYDAydaRW8+zVspPlfhYUnktAacPaCRmmNxtk/RgA7cWF5XHsBuP4YXWhpvG2f4CYAZRNcaLvIbdvPgxeqV4axis83zcaeYBW88n4YEe6dj9wpand71b1FHFmzZbO90oVTf+rXFMLNBJ+COOOVFlIgHzyZ4h70Y5YfOrpxBHHqF7WOsQ9W3oOluNWOgxkRjXW7be8fqFMJ8wDvw/hG2jmS9GOpLFn3xgVmK9/WRUWzyfqrG579bCRGf1/gIu3Qc57T8CmU/8haFhL9TGMTF6xYDLITXSBSBOXT55ZA6E= root@wltest

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDU2JIqkAVQTlO0Pia8/7yp4gnIu1uTJ4Hq07/Jvd0yYD9C/30Khm4wY0gw8RGNU/D7eP57qHdGM6KCcZ75DwR6rO5owJmZQW7QGohem8GRJF58PrRqEhCvP6XOaKyTQJr+T4uq1aVJWHBYaeyVh80nwnREsky8tFSPGos2X/qhrlue0jX+hDu4hvWFJgP0oLbYBs4QJoH6TIcdeos2gxK1/U7/saru5Q3YDuU54/mA4RcF7izI4koKcBLSAilaZBys0OtBEx95Y/eGuIPEunDLf1Q6JBBK+pE0Jz0orS6Kdt8S7QsMBO2Z2pt8ZvPeuI6k5c0H7ThmX56ZaL6Q5H5FTbDoLz6TM4QGbwgbDv/HXUc50cHJPKFAoo0R5S4QSEptzL8B719L2FYCX27fS9ni3O7+3A/RDvThdmQXaLYeyucJHGpL1I5wlBnUrOXH2Q4sn5xQmZWldDjt7+zsjwXvPpwy2YNrlqp4XLPKcqFDGnqK/oZjdfA+pkAOfnYBgu0= 613154514@qq.com

3. windows下如何生成ssh秘钥对

ssh-keygen  -t   rsa   -C    "613154514@qq.com"

注意:这里的 xxxxx@xxxxx.com 只是生成的 sshkey 的名称,并不约束或要求具体命名为某个邮箱。

现网的大部分教程均讲解的使用邮箱生成,其一开始的初衷仅仅是为了便于辨识所以使用了邮箱。

-t参数还支持这些 'ssh-rsa', 'ssh-dss', 'ssh-ed25519', 'ecdsa-sha2-nistp256', 'ecdsa-sha2-nistp384' or 'ecdsa-sha2-nistp521'

比如 ssh-keygen  -t   ed25519 -C   "xxxxx@xxxxx.com"

图片.png

上图文件.pub是公钥需要放到centos服务器的这个文件里面/root/.ssh/authorized_keys,一行一个多多个,该完记得重启sshd服务。

systemctl   restart    sshd.service

4. 然后本地在xshell里面使用私钥+私钥密码形式登录就可以了。Xshell客户写的是public key这里需要注意下,这里是私钥。公钥保存在服务器上面的,私钥在自己手机保存。

5. 如何通过私钥导出公钥,id_rsa是私钥文文件,new.pub 是导出的公钥文件。私钥有密码保护,所以需要输入正确的密码才能导出成功。

ssh-keygen  -y  -f   id_rsa > new.pub

图片.png

new.pub 和id_rsa.pub公钥内容是一样的。

相关文章
|
5天前
|
网络协议 应用服务中间件 网络安全
免费泛域名https证书教程—无限免费续签
随着互联网安全意识提升,越来越多网站采用HTTPS协议。本文介绍如何通过JoySSL轻松获取并实现免费泛域名SSL证书的无限续签。JoySSL提供永久免费通配符SSL证书,支持无限制域名申请及自动续签,全中文界面适合国内用户。教程涵盖注册账号、选择证书类型、验证域名所有权、下载与安装证书以及设置自动续签等步骤,帮助网站简化SSL证书管理流程,确保长期安全性。
|
19天前
|
安全 算法 网络协议
ip地址https证书免费试用—政企单位专用
IP地址HTTPS证书为基于公网IP的服务提供加密保护,JoySSL等机构提供免费试用,帮助政企用户降低安全成本。用户需注册账号、申请证书、提交CSR并验证IP所有权,最后安装证书并测试。免费证书有效期短,但能有效保障数据安全,提升用户信任度及合规性。
|
15天前
|
安全 网络安全 数据安全/隐私保护
内网/局域网IP地址申请https证书方法
为内网/局域网IP地址申请HTTPS证书,可增强数据传输的安全性。首先确定固定的内网IP地址,选择可信的证书颁发机构,注册并申请免费或付费SSL证书,提交相关信息,支付费用(如有)。证书申请成功后,下载并配置于服务器,确保通过浏览器访问时显示为安全连接。注意定期更新证书,确保持续的安全保障。此过程适用于局域网内部通信加密,提升内网服务的安全水平。
|
23天前
|
安全 数据安全/隐私保护
IP地址https证书免费申请教程
本教程详细介绍如何免费申请IP地址HTTPS证书,涵盖准备、申请、审核、下载与部署阶段。从确认IP地址、选择CA、注册账户到验证控制权,最后完成证书部署,确保数据传输安全。注意证书有效期较短,需及时续签。
|
29天前
|
安全 物联网 数据建模
IP地址能否申请HTTPS证书?
IP地址可申请HTTPS证书,但需满足特定条件。首先,该IP须为公网IP,具备唯一性和可控性。证书类型限于DV或OV级别,不支持EV。申请过程包括所有权验证及端口开放。适用于服务器间通信及IoT设备等场景。申请时需注意成本、浏览器兼容性和安全性问题。
|
1月前
|
安全 应用服务中间件 网络安全
免费ip地址https证书申请方法
IP SSL证书用于保障IP地址与浏览器间的数据传输安全,多数需付费购买。JoySSL现提供免费试用版,申请流程包括:访问官网、注册账号(需输入特定注册码230922)、选择证书类型、填写申请信息、验证IP控制权、等待审核、下载及部署证书。确保IP地址独立可控,信息准确,及时续期。
|
1月前
|
存储 网络安全
Curl error (60): SSL peer certificate or SSH remote key was not OK for https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/x86_64/repodata/repomd.xml [SSL: no alternative certificate subject name matches target host name 'update.cs2c.com.cn']
【10月更文挑战第30天】在尝试从麒麟软件仓库(ks10-adv-os)下载元数据时,遇到 SSL 证书验证问题。错误提示为:`Curl error (60): SSL peer certificate or SSH remote key was not OK`。可能原因包括证书不被信任、证书与域名不匹配或网络问题。解决方法包括检查网络连接、导入 SSL 证书、禁用 SSL 证书验证(不推荐)、联系仓库管理员、检查系统时间和尝试其他镜像。
277 1
|
1月前
|
安全 网络安全 数据安全/隐私保护
政务单位IP地址https证书
政务单位IP地址HTTPS证书是一种专为只有IP地址而无域名的政务网站设计的数字证书,用于加密通信、确保数据安全并提升用户信任度。申请流程包括选择证书颁发机构、提交申请并验证、部署证书等步骤。证书有效期通常为一年或多年,需定期更新以确保安全性。
|
1月前
|
算法 安全 网络安全
等保、密评使用的IP地址https证书
等保和密评是确保网络安全的重要环节。IP地址的HTTPS证书通过加密数据传输、符合等保密评要求、提升IP身份辨识度,起到关键作用。证书需国产化、支持国密算法,并建议采用OV或EV证书。申请流程包括准备、选择服务商、申请与验证、签发与部署、验证与测试。定期检查证书有效期,确保持续有效性。
|
2月前
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
141 4