当前位置：首页 > news >正文

数字证书的简单记录

news 2025/9/17 9:00:35

CA（Certificate Authority）：即数字证书颁发认证机构。
CA数字证书（crt/cer证书）：数字证书 = 申请者与颁发者信息+申请者公钥+颁发者签名，由CA机构使用私钥签名得到数字证书。
CA中间证书：如果使用CA根证书直接签发SSL证书，如果发生了错误，或者说要取消掉root，那么用这个根证书签名的所有证书都将变为不可信。所以，根证书用自己的私钥对中间证书进行签名，这时中间证书就变为可信证书了。中间根又可以给另一个中间跟进行签名，这个被中间根签名的新中间根同样也可以用来签署SSL证书。

根证书（root certificate）是CA中心自签名的证书，即证书链的起点，安装根证书，就是信任此CA中心。首先我们要知道，证书（后文称之为证书A）中的内容有用户的信息、公钥以及CA中心的签名。那么我们如何确定这个CA组织的签名是否可信呢？显然需要用到这个CA中心的公钥，那么这个公钥又要从哪里获取呢？当然是从包含有CA中心公钥的那份证书（后文称之为证书B）中获取。下载了证书B后，问题又来了，如何验证证书B又是可信的呢？于是又要用签发证书B的证书C来验证这个证书B是可信的。
这个时候似乎是一个死循环，一层层嵌套，就是证书链，证书链的顶端就是自签名的证书，称之为根证书，也叫一级证书，也是自签证书。
SSL证书：
TLS证书:
HTTPS：

*.crt/cer：数字证书，Linux下叫crt，window下叫cer
*.key：私钥或公钥文件
*.csr：证书签名请求文件
*.pem：数字证书或秘钥，比较通用，两种都有可能。

证书申请、签发、验证流程

1、服务端生成秘钥对并发送csr请求：服务端通过OpenSSL生成公私密钥对，同时生成一个证书签名请求文件，即csr文件（Certificate Signature Request），包含公钥+申请信息+域名/IP等内容发送给CA。
2、CA机构签发数字证书：首先CA会对csr包计算Hash，然后CA使用自己的私钥将该Hash值加密，即对csr包进行数字签名（Certificate Signature），
最后将Certificate Signature添加在csr包上，形成数字证书。
3、客户端验证数字证书：首先客户端会使用同样的Hash算法计算该数字证书的Hash值H1，通常浏览器和操作系统中集成了CA的公钥信息，
浏览器收到服务器的数字证书后使用CA的公钥解密数字签名Certificate Signature的内容，得到另一个Hash值H2，最后比较如果H1和H2相同，则为可信赖的证书，进而能够使用数字证书中包含的服务端生成的公钥对即将发送的数据进行加密。
4、服务端收到客户端发送的加密数据后，使用私钥进行解密。

数字证书的简单记录

相关文章：

数字证书的简单记录

ssm基于SSM的校内信息服务发布系统的设计与实现+vue

Java 教程简介

【C/C++】【三种方法】模拟实现strlen

外贸平台开发多语言处理的三种方式

学习GCC

B2109 统计数字字符个数

springboot Lark扫码登录

中专女生数赛疑云：阿里蒙冤，学校之过，尽显世态炎凉

【neo4j】图数据库neo4j cypher单一语句 optional 可选操作的技巧

ip地址分为几大类-IP和子网掩码对照表

第四篇: 用Python和SQL在BigQuery中进行基础数据查询

OpenCV中使用EdgeDrawing模块查找圆

C++在游戏领域的主要应用

基于SpringBoot的“CSGO赛事管理系统”的设计与实现（源码+数据库+文档+PPT)

Web Broker（Web服务应用程序）入门教程（2）

redis：list列表命令和内部编码

.Net Core Configuration用法

分享一些企业选择管理顾问公司的成功经验

「Qt Widget中文示例指南」如何实现窗口嵌入？

MPNet：旋转机械轻量化故障诊断模型详解python代码复现

深入浅出Asp.Net Core MVC应用开发系列-AspNetCore中的日志记录

java_网络服务相关_gateway_nacos_feign区别联系

PHP和Node.js哪个更爽?

JavaScript 中的 ES|QL：利用 Apache Arrow 工具

linux 下常用变更-8

鱼香ros docker配置镜像报错：https://registry-1.docker.io/v2/

3403. 从盒子中找出字典序最大的字符串 I

大学生职业发展与就业创业指导教学评价

算法：模拟