一文搞清电子认证相关概念：CA、证书、PKI、CSR、SSL、TSL、CRT、CER、PEM、RSA等

文章目录

电子认证
公钥基础设施（PKI）
安全认证机构CA
证书
SSL
TSL
CSR是什么
SSL证书格式
SSL证书文件
OpenSSL证书操作
- 1、查看
- 2、转换
- 3、组合
- 4、提取
RSA
参考资料

电子认证

电子认证就是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。

公钥基础设施（PKI）

Public Key Infrastructure（PKI）
可信赖的机构就是认证机构，按不同的层次构建起来，形成公钥基础设施。
在公共基础设施的构成中，认证机构（CA）及相关的证书管理设施居于核心地位。

安全认证机构CA

安全认证机构（CA）也称为认证中心（Certificate Authority）

任务：受理数字证书的申请、签发数字证书，以及对数字证书的管理。

证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。
证书的格式和验证方法普遍遵循X.509 国际标准。

加密：
CA认证我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。

解密：
我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。

SSL

SSL(Secure Sockets Layer 安全套接字协议)，是一个介于HTTP协议与TCP之间的一个可选层，用以保障在Internet上数据传输之安全

TSL

TLS：(Transport Layer Security，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。
TLS 1.0是IETF（Internet Engineering Task Force，Internet工程任务组）制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本，可以理解为SSL 3.1，它是写入了 RFC 的。

CSR是什么

CSR是Certificate Signing Request的英文缩写，即证书签名请求文件，是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。

CSR文件必须在申请和购买SSL证书之前创建。

CSR是以-----BEGIN CERTIFICATE REQUEST-----开头，-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。

如何生成CSR文件：
目前，通常CSR文件是在拿到参考码、授权码进行证书签发和下载时，通过网页提交给CA的（也可以由CSR生成工具生成）。CSR生成工具非常多，网上一搜一大把，https://www.sslceshi.com/csr_generate/
这里有几个关键的要注意下：

域名必须正确输入（如果是非SSL证书，则输入相应的通用名）。

密钥算法选择RSA的话，密钥长度需要2048bit以上（这个默认是2048，没有特殊情况，不要特殊设置）；ECC则是256bit以上。

摘要签名虽说目前可以任意，但建议是sha2-256以上。
有CSR必定有KEY，是成对的，CSR最终变成为证书，和私钥key配对使用。Key是以-----BEGIN RSA PRIVATE KEY-----开头的，-----END RSA PRIVATE KEY-----结尾的。

SSL证书格式

X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT

CER和CRT扩展几乎是同义词。最常见的于Unix 或类Unix系统。

CER文件可以被打开查看，只需要点击浏览器下面的小锁子图标，访问一个安全性网站的时候都会出现这个小锁子图标。

SSL证书文件

OpenSSL证书操作

证书操作有四种基本类型。查看，转换，组合和提取。

1、查看

查看PEM编码证书

openssl x509 -in cert.pem -text -nooutopenssl x509 -in cert.cer -text -nooutopenssl x509 -in cert.crt -text -noout

查看DER编码证书

openssl x509 -in certificate.der -inform der -text -noout

2、转换

# PEM到DER
openssl x509 -in cert.crt -outform der-out cert.der
# DER到PEM
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

3、组合

在某些情况下，将多个X.509基础设施组合到单个文件中是有利的。一个常见的例子是将私钥和公钥两者结合到相同的证书中。

组合密钥和链的最简单的方法是将每个文件转换为PEM编码的证书，然后将每个文件的内容简单地复制到一个新文件中。这适用于组合文件以在Apache中使用的应用程序。

4、提取

一些证书将以组合形式出现。一个文件可以包含以下任何一个：证书，私钥，公钥，签名证书，证书颁发机构（CA）和/或权限链。

RSA

一种非对称加密算法，具体看阮一峰大佬的文章

参考资料

https://www.doc88.com/p-935709709927.html
https://blog.csdn.net/qq_37049781/article/details/84837342