企業(yè)建站知識(shí) 推廣知識(shí) 小程序微信營(yíng)銷(xiāo) APP開(kāi)發(fā) 前端設(shè)計(jì) MindManager 開(kāi)發(fā)語(yǔ)言自媒體

SSL雙向認(rèn)證以及證書(shū)的制作和使用

發(fā)表日期：2016-12 文章編輯：小燈瀏覽次數(shù)：3921

--《轉(zhuǎn)載》【鏈接】SSL雙向認(rèn)證以及證書(shū)的制作和使用

http://www.2cto.com/article/201411/347512.html

客戶端認(rèn)證服務(wù)器：

正規(guī)的做法是：到國(guó)際知名的證書(shū)頒發(fā)機(jī)構(gòu)，如VeriSign申請(qǐng)一本服務(wù)器證書(shū)，比如支付寶的首頁(yè)，點(diǎn)擊小鎖的圖標(biāo)，可以看到支付寶是通過(guò)VeriSign認(rèn)證頒發(fā)的服務(wù)器證書(shū)：

我們用的操作系統(tǒng)（windows, linux, unix ,android, ios等）都預(yù)置了很多信任的根證書(shū)，比如我的windows中就包含VeriSign的根證書(shū)，那么瀏覽器訪問(wèn)服務(wù)器比如支付寶www.alipay.com時(shí)，SSL協(xié)議握手時(shí)服務(wù)器就會(huì)把它的服務(wù)器證書(shū)發(fā)給用戶瀏覽器，而這本服務(wù)器證書(shū)又是比如VeriSign頒發(fā)的，自然就驗(yàn)證通過(guò)了。

國(guó)內(nèi)許多公司的做法：自己做根證書(shū)CA（自己充當(dāng)類(lèi)似于VeriSign的角色），然后讓用戶下載安裝根CA（當(dāng)然了，其中只含有公鑰）到機(jī)器中，12306就是這樣干的（SRCA就是12306的根證書(shū)），然后再自己給自己頒發(fā)服務(wù)器證書(shū)，這樣用戶機(jī)器上也有他的CA，服務(wù)器發(fā)來(lái)的服務(wù)器證書(shū)也是這本CA頒發(fā)的，當(dāng)然也順利通過(guò)了。

服務(wù)器認(rèn)證客戶端：

服務(wù)器端通過(guò)根CA給客戶端頒發(fā)客戶端證書(shū)，在制作客戶端證書(shū)時(shí)加上和機(jī)器相關(guān)的信息就可以保證在特定的時(shí)候某個(gè)帳號(hào)只能在這臺(tái)機(jī)器上和服務(wù)器交換報(bào)文，比如我們用支付寶時(shí)必須下載安裝數(shù)字證書(shū)時(shí)，可以命名這本證書(shū)叫"我的筆記本"或者是"公司電腦"之類(lèi)的，就是支付寶給用戶頒發(fā)證書(shū)，只能在這臺(tái)機(jī)器上用，你換了機(jī)器就必須重新申請(qǐng)。建立SSL連接時(shí)，先是服務(wù)器將自己的服務(wù)器證書(shū)發(fā)給客戶端，驗(yàn)證通過(guò)后，客戶端就把自己的客戶端證書(shū)發(fā)給服務(wù)器進(jìn)行驗(yàn)證，如果通過(guò)，再進(jìn)行后面的處理。

下面來(lái)說(shuō)說(shuō)如何自己制作根CA證書(shū)以及服務(wù)器證書(shū)和客戶端證書(shū)：

客戶端安裝服務(wù)器根證書(shū)ca.crt到客戶端信任證書(shū)庫(kù)中，服務(wù)器端安裝服務(wù)器根證書(shū)ca.crt到服務(wù)器信任證書(shū)庫(kù)中。

SSL握手時(shí)，服務(wù)器先將服務(wù)器證書(shū)server.p12發(fā)給客戶端，客戶端會(huì)到客戶端信任證書(shū)庫(kù)中進(jìn)行驗(yàn)證，

因?yàn)閟erver.p12是根證書(shū)CA頒發(fā)的，所以驗(yàn)證通過(guò)；然后客戶端將客戶端證書(shū)client.p12發(fā)給服務(wù)器，同理因?yàn)閏lient.p12是根證書(shū)CA頒發(fā)的，所以驗(yàn)證通過(guò)。

先下載安裝xca工具，地址是http://xca.hohnstaedt.de/

先用xca創(chuàng)建一本ca證書(shū)

xca打開(kāi)的界面

依次File, New DataBase，選擇xdb文件保存路徑，再輸入密碼

切換到Certificates頁(yè)面，點(diǎn)擊New Certificate

出現(xiàn)如下界面

因?yàn)橐獎(jiǎng)?chuàng)建根證書(shū)，這里選擇序號(hào)為1的自認(rèn)證證書(shū)，簽名算法選擇SHA 256，證書(shū)模版選擇默認(rèn)CA，再點(diǎn)擊Apply all（這個(gè)不能漏）如下所示：

再切到Subject頁(yè)面，填好各個(gè)字段，都可以隨便填

再點(diǎn)擊Generate a new key生產(chǎn)私鑰

最后點(diǎn)擊OK，CA證書(shū)做好了，有效期默認(rèn)10年

將根證書(shū)導(dǎo)出成只包含公鑰的證書(shū)格式，這本根證書(shū)就是放在網(wǎng)站上供用戶下載安裝，或主動(dòng)安裝到客戶機(jī)器中的：

制作服務(wù)器證書(shū)、客戶端證書(shū)和制作CA證書(shū)差不多，只有兩個(gè)地方不一樣：

選擇已經(jīng)制作好的根CA，然后點(diǎn)擊New Certificate

簽名時(shí)，選擇使用根證書(shū)，這里是hangzhou進(jìn)行簽名頒發(fā)，然后證書(shū)模版選擇服務(wù)器（制作客戶端證書(shū)就選擇HTTPS_client），其他都和制作根證書(shū)一樣，然后點(diǎn)擊Apply

all（這個(gè)一定不能忘），然后再切到Subject、Extension頁(yè)面填寫(xiě)相應(yīng)的東西就OK了

制作完成：

然后再將服務(wù)器證書(shū)導(dǎo)出來(lái)，選擇p12格式

同理制作客戶端證書(shū)，并將之導(dǎo)出，也是p12格式的證書(shū)，包含私鑰

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20530.html

上一篇：<iOS 10 適配 ATS 下一篇：網(wǎng)站加密免費(fèi)SSL>