带你读《2022技术人的百宝黑皮书》——HTTPS的原理浅析与本地开发实践（10）

概念

名称

解释

TLS（Transport Security）/SSL（Sec ure Sockets Layer）

Layer

传输层安全协议/安全套阶层

---

OpenSSL —— Cryptography and SSL/TLS Toolkit

openssl是一个功能丰富且自包含的开源安全工具箱

它提供的主要功能有：SSL协议实现( 包括SSLv2、SSLv3 和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法 密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标  准实现和PKCS12个人数字证书格式实现等功能。

Message Digest

信息摘要

也称特征值，它是将一段很长的数据信息，通过hash函数（MD5 或 sha 1等）计算，得到一串长度“较短”且“定长”的短数值， 来作为这段数据独一无二的特征值。该过程不可逆。

Digital Signature

数字签名

使用用户的私钥(private key)对信息摘要进行加密，生成的信息。私钥 + 信息摘要 = 数字签名。

Digital Certificate

数字证书

由某个被信任的机构（CA）签发、认证用户身份的数字文件。CA 私钥 + 认证用户的基础信息 + 认证用户的公钥 = 数字证书

CRT/CER（Certificate）

证书

经权威授权机构数字签名，包含公开密钥的拥有者信息以及公开密钥的文件，是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。CRT常见于Linux系统，内容常用PEM，也有DER编码，CER常见于Windows系统，内容常用DER编码，也有PEM编码。

X.509

证书标准

定义证书中需要包含的内容c/rfc5280.txt

——

https://www.ietf.org/rf-

PEM（

Privacy Enhanced Mail）

X.509证书的编码格式

文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是

BASE64编码。

PEM转为DER ：openssl x509 -in cert.crt -outform der -out cert.der

CER（Distinguished Encoding Rules）

X.509证书的编码格式

二进制格式,不可读。

DER转为PEM ：openssl x509 -in cert.crt -inform der

-outform pem -out cert.pem

CA（

Certificate Authority）

数字证书颁发机构/证书授权中心

CA认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥合法性检验的责任。

CSR（Certificate Signing Request）

证书签名请求

它包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核，CA中心对CSR文件进行根证  书私钥签名后会生成证书公钥文件（即签发给您的SSL证书）

KEY

存放私钥或者公钥的文件

---

SAN（Subject Alternative Names）

---

可以使用一个数字证书绑定多个通用名称（即使互不相关的名称）。参加上面的手动创建CSR