SSL證書管理

@TOC

SSL證書管理

什么是SSL證書管理

SSL證書管理SSL Certificate Manager,SCM)是一個SSL(Secure Socket Layer證書管理平臺,平臺聯(lián)合全球知名數(shù)字證書服務(wù)機構(gòu)為用戶提供購買SSL證書的功能,用戶也可以將本地的外部SSL證書上傳到平臺,實現(xiàn)用戶對內(nèi)部和外部SSL證書的統(tǒng)一管理。

SSL證書的作用

SSL證書是一種遵守SSL協(xié)議的服務(wù)器數(shù)字證書,由受信任的根證書頒發(fā)機構(gòu)頒發(fā)。

SSL證書采用SSL協(xié)議進行通信,SSL證書部署到服務(wù)器后,服務(wù)器端的訪問將啟用HTTPS協(xié)議。您的網(wǎng)站將會通過HTTPS加密協(xié)議來傳輸數(shù)據(jù),可幫助服務(wù)器端和客戶端之間建立加密鏈接,從而保證數(shù)據(jù)傳輸?shù)陌踩?/strong>。

其主要作用如下:

  • 網(wǎng)站身份驗證,確保數(shù)據(jù)發(fā)送到正確的客戶端和服務(wù)器。
  • 在客戶端和服務(wù)器端之間建立加密通道,保證數(shù)據(jù)在傳輸過程中不被竊取或篡改

另外,SSL協(xié)議,全稱為:安全套接層協(xié)議(Secure Sockets Layer),它指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet、FTP)和TCP/IP之間提供數(shù)據(jù)安全性分層的機制,它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議,采用公開密鑰技術(shù),它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證、消息完整性以及可選的客戶機認證。由于SSL協(xié)議很好地解決了互聯(lián)網(wǎng)明文傳輸?shù)牟话踩珕栴},很快得到了業(yè)界的支持,并已經(jīng)成為國際標準。

使用場景

用戶通過華為云、阿里云、騰訊云等云服務(wù)廠商獲取SSL證書,將證書部署到網(wǎng)站、企業(yè)應(yīng)用或其他服務(wù)

部署后可以將服務(wù)使用的HTTP協(xié)議替換成HTTPS協(xié)議,幫助用戶避免HTTP協(xié)議的如下隱患:

  • HTTP協(xié)議在客戶端與服務(wù)器端之間使用明文傳輸數(shù)據(jù),可以被輕松截取或篡改。
  • HTTP協(xié)議不能鑒別真實與虛假網(wǎng)站,因此容易被欺詐、釣魚網(wǎng)站利用從而導(dǎo)致用戶信息泄露、財產(chǎn)損失。

具體應(yīng)用在一下幾方面:

  • 網(wǎng)站可信認證:

    適用于網(wǎng)站建設(shè)。為用戶建立的網(wǎng)站提供基于數(shù)字證書的可信身份認證支持,避免網(wǎng)站被仿冒。

  • 應(yīng)用可信認證:

    適用于云應(yīng)用服務(wù)、移動應(yīng)用服務(wù)。為用戶云上的應(yīng)用(CRM、OA、ERP等)提供基于數(shù)字證書的可信身份認證支持,避免接入非法應(yīng)用。

  • 應(yīng)用數(shù)據(jù)傳輸保護:

    適用于網(wǎng)站、應(yīng)用與客戶端之間的數(shù)據(jù)傳輸。對客戶端與網(wǎng)站、應(yīng)用之間的傳輸數(shù)據(jù)加密,防止數(shù)據(jù)中途被竊取,維護數(shù)據(jù)完整性,防止被篡改。

相關(guān)概念

數(shù)字證書

數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。它是權(quán)威機構(gòu)頒發(fā)給網(wǎng)站的可信憑證。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書還有一個重要的特征就是只在特定的時間段內(nèi)有效。

graph LR
A[數(shù)字證書] -- 包含 --> B(公開密鑰)
A -- 包含 --> C(名稱)
A -- 包含 --> D(證書授權(quán)中心的數(shù)字簽名)

SSL協(xié)議

SSL協(xié)議又稱為“安全套接層”(Secure Sockets Layer)協(xié)議,是通過計算機網(wǎng)絡(luò)提供通信安全性的加密協(xié)議。可在瀏覽器和網(wǎng)站之間建立加密通道,保證信息傳輸過程中不被竊取、篡改。

CA認證中心

CA認證中心,又稱CA機構(gòu),即證書授權(quán)中心(Certificate Authority),或稱證書授權(quán)機構(gòu),是負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu),并作為電子商務(wù)交易中受信任的第三方,承擔公鑰體系中公鑰合法性檢驗的責任。

HTTPS

HTTPS是一種基于SSL協(xié)議的網(wǎng)站加密傳輸協(xié)議。網(wǎng)站安裝SSL證書后,使用HTTPS加密協(xié)議訪問,可以激活客戶端瀏覽器到網(wǎng)站服務(wù)器之間的“SSL加密通道”(SSL協(xié)議),實現(xiàn)高強度雙向加密傳輸,防止傳輸數(shù)據(jù)被泄露或篡改。簡單講就是HTTP的安全版。

常見問題

主流數(shù)字證書有哪些格式

主流的Web服務(wù)軟件,通常都基于OpenSSLJava兩種基礎(chǔ)密碼庫。

  • Tomcat、Weblogic、JBossWeb服務(wù)軟件,一般使用Java提供的密碼庫。通過Java Development Kit(JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的證書文件。
  • Apache、NginxWeb服務(wù)軟件,一般使用OpenSSL工具提供的密碼庫,生成PEM、KEY、CRT等格式的證書文件。
  • IBM的Web服務(wù)產(chǎn)品,如Websphere、IBM Http Server(IHS)等,一般使用IBM產(chǎn)品自帶的iKeyman工具,生成KDB格式的證書文件。
  • 微軟Windows Server中的Internet Information Services(IIS)服務(wù),使用Windows自帶的證書庫生成PFX格式的證書文件。
graph LR
A1[`Tomcat` `Weblogic` `JBoss`等`Web`服務(wù)軟件] -- 識別證書格式 --> B(Java Keystore `JKS` 格式的證書文件)
A2[`Apache` `Nginx`等`Web`服務(wù)軟件] -- 識別證書格式 --> C(`PEM` `KEY` `CRT`等格式的證書文件)
A3[IBM的Web服務(wù)產(chǎn)品] -- 識別證書格式 --> D(KDB格式的證書文件)
A4[微軟`Windows Server`] -- 識別證書格式 --> E(PFX格式的證書文件)

查看證書文件的格式

  • 您可以使用以下方法簡單區(qū)分帶有后綴擴展名的證書文件:

    • .DER或 .CER文件:這樣的證書文件是二進制格式,只含有證書信息,不包含私鑰。
    • .CRT文件:這樣的證書文件可以是二進制格式,也可以是文本格式,一般均為文本格式,功能與.DER及.CER證書文件相同。
    • .PEM文件:這樣的證書文件一般是文本格式,可以存放證書或私鑰,或者兩者都包含。.PEM文件如果只包含私鑰,一般用.KEY文件代替。
    • .PFX或.P12文件:這樣的證書文件是二進制格式,同時包含證書和私鑰,且一般有密碼保護。

  • 您也可以使用記事本直接打開證書文件。如果顯示的是規(guī)則的數(shù)字和字母,則表示該證書文件是文本格式。

    舉例:

    —–BEGIN CERTIFICATE—–
MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......
—–END CERTIFICATE—–
    • 如果存在“——BEGIN CERTIFICATE——”,則說明這是一個證書文件。
    • 如果存在“—–BEGIN RSA PRIVATE KEY—–”,則說明這是一個私鑰文件。

證書格式轉(zhuǎn)換

證書格式之間是可以互相轉(zhuǎn)換的

img

您可使用以下方式實現(xiàn)證書格式之間的轉(zhuǎn)換:

  • 將JKS格式證書《==》PFX格式

    您可以使用JDK中自帶的Keytool工具,將JKS格式證書文件轉(zhuǎn)換成PFX格式。

    例如,您可以執(zhí)行以下命令將“server.jks”證書文件轉(zhuǎn)換成“server.pfx”證書文件:

    keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12

  • 將PFX格式證書《==》JKS格式

    您可以使用JDK中自帶的Keytool工具,將PFX格式證書文件轉(zhuǎn)換成JKS格式。

    例如,您可以執(zhí)行以下命令將“server.pfx”證書文件轉(zhuǎn)換成“server.jks”證書文件:

    keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS

  • 將PEM/KEY/CRT格式證書《==》PFX格式

    您可以使用OpenSSL工具,將KEY格式密鑰文件和CRT格式公鑰文件轉(zhuǎn)換成PFX格式證書文件。

    例如,將您的KEY格式密鑰文件(server.key)和CRT格式公鑰文件(server.crt)拷貝至OpenSSL工具安裝目錄,使用OpenSSL工具執(zhí)行以下命令將證書轉(zhuǎn)換成“server.pfx”證書文件:

    openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

  • 將PFX格式證書《==》PEM/KEY/CRT格式

    您可以使用OpenSSL工具,將PFX格式證書文件轉(zhuǎn)化為PEM格式證書文件、KEY格式密鑰文件和CRT格式公鑰文件。

    例如,將您的PFX格式證書文件拷貝至OpenSSL安裝目錄,使用OpenSSL工具執(zhí)行以下命令將證書轉(zhuǎn)換成“server.pem”證書文件、KEY格式密鑰文件(server.key)和CRT格式公鑰文件(server.crt):

    openssl pkcs12 -in server.pfx -nodes -out server.pem

    openssl rsa -in server.pem -out server.key

    openssl x509 -in server.pem -out server.crt

<button><span style="color:red">須知</span></button>

此轉(zhuǎn)換步驟是專用于通過OpenSSL工具生成私鑰和CSR申請證書文件,并且通過此方法您還可以在獲取到PEM格式證書公鑰的情況下,分離出私鑰。在您實際部署數(shù)字證書時,請使用通過此轉(zhuǎn)換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進行部署。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

友情鏈接更多精彩內(nèi)容