X509和CA的关系
前言
最近ATF不是出了一个关于x509的漏洞吗?
我连ATF都不是很熟悉,更别提x509,想知道这个玩意对我们有没有影响。一查这玩意是个整数,寻思证书不是CA吗?嗯我又在丢人了,看到这个前言你就知道这是个小白普及知识点的文章。
x509
X.509是公钥基础设施(PKI)的标准格式。X.509证书就是基于国际电信联盟(ITU)制定的X.509标准的数字证书。X.509证书主要用于识别互联网通信和计算机网络中的身份,保护数据传输安全。X.509证书无处不在,比如我们每天使用的网站、移动应用程序、电子文档以及连接的设备等都有它的身影。
X.509证书的结构优势在于它是由公钥和私钥组成的密钥对而构建的。公钥和私钥能够用于加密和解密信息,验证发送者的身份和确保消息本身的安全性。基于X.509的PKI最常见的用例是使用SSL证书让网站与用户之间实现HTTPS安全浏览。X.509协议同样也适用于应用程序安全的代码签名、数字签名和其他重要的互联网协议。
CA
Certification authority (CA):被信任的证书颁发机构,负责创建公钥证书和提供数字签名。
CA certificate: 一个CA的公钥证书,可以是自己发给自己的,也可以来自别的CA。
所谓CA(Certificate Authority)认证中心,即采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务的机构。CA可以是民间团体,也可以是政府机构。CA负责签发和管理数字证书,且具有权威性和公正性,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。
根CA信任模型
面对全球这么广泛的用户,仅仅一个CA显然不够。PKI引入“信任模型”,用于描述和分析同一CA管理域内部或不同CA管理域之间信任关系的建立和传递过程。PKI信任模型主要采用根CA信任模型,也称作严格层次信任模型。
小结-两者关系
两个什么关系,CA是一个宏观的概念,实现起来,要follow一个标准。这个标准是x509。 X.509是一种非常通用的证书格式
CA服务器是一个应用程序,他从技术上实现符合PKI和X509等相关证书的签发和管理功能。
证书分为CA证书和用户证书
证书的封装类型
- a.X509证书
X509证书包含的内容主要是用户信息、证书序列号、签发者、有效期、公钥、其他信息及CA的数字签名。 - b.PKCS#12证书
- c.PKCS#7证书
关键词
- TLS:传输层安全协议 Transport Layer Security的缩写
- SSL:安全套接字层 Secure Socket Layer的缩写
- TLS:与SSL对于不是专业搞安全的开发人员来讲,可以认为是差不多的,这二者是并列关系
- KEY:通常指私钥。
- CSR:是Certificate Signing Request的缩写,即证书签名请求,这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。
- CRT:即 certificate的缩写,即证书。
- X.509:是一种证书格式,对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:
- PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END…"结尾,内容是BASE64编码,Apache和*NIX服务器偏向于使用这种编码格式。
- DER - Distinguished Encoding Rules,打开看是二进制格式,不可读,Java和Windows服务器偏向于使用这种编码格式。
- OpenSSL 相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现。接口规范本身是安全没问题的,但是具体实现可能会有不完善的地方,比如之前的"心脏出血"漏洞,就是OpenSSL中的一个bug。
后续如果涉及到对应的证书和规范再进行深入的学习。
参考链接:
http://www.yunweipai.com/4540.html
推荐一个X509证书详解的blog【X509证书详解】
X509和CA的关系相关推荐
- 关于数字证书数字签名以及CA的关系梳理
关于数字证书数字签名以及CA的关系梳理 莫名其妙进入了这个数字证书相关的行业.其中尽量减少了概念性的东西或者说用最直白的话来描述关于CA.数字签名.数字证书的来源,作用. 为了方便大家不用下载,ppt ...
- 生成CA根证书、公钥、私钥指令(数字证书)
一.生成CA根证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl ...
- 【一】生成CA根证书、公钥、私钥指令(数字证书)
一.生成CA根证书 生成 CA 私钥:openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书:openssl ...
- 加解密、PKI与CA基础
介绍 这门知识如果以前尝过的各位想必都知道:枯燥无比!因此在文中我会尽量讲的生动些,举一些例子,并试图以一个完整的例子来贯穿整个讲述过程. 今年又恰逢莎翁逝世400周年,一方面也为了纪念这位伟大的作家 ...
- 深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
互联网是虚拟的,通过互联网我们无法正确获取对方真实身份.数字证书是网络世界中的身份证,数字证书为实现双方安全通信提供了电子认证.数字证书中含有密钥对所有者的识别信息,通过验证识别信息的真伪实现对证书持 ...
- TLS就是SSL的升级版+网络安全——一图看懂HTTPS建立过程——本质上就是引入第三方监管,web服务器需要先生成公钥和私钥,去CA申请,https通信时候浏览器会去CA校验CA证书的有效性...
起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的,但是还是可以通过抓包工具窃取到)是不安全的,为了解决这一隐患网景公司推出了SSL安全套接字协议层,SSL是基于 ...
- 自己做回CA 给别人发证
自己做回CA给别人发证 在客户端 1:客户自己得首先有密钥 生成密钥] openssl genrsa 1024<大小> >guest.key 2:请求颁发证书 op ...
- openssl创建CA、申请证书及其给web服务颁发证书
一.创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf 2)创建所需的文件 touch /etc/pki/CA/index.txt echo ...
- 数据加密类型及创建和申请CA证书
数据加密类型及创建和申请CA证书 1.数据在互联网上传输必须保证以下3点特性: 私密性: 数据加密 完整性: 数据传输过程没有被人修改 身份验证: 确认对方的身份,防止中间人伪装*** 2.私密 ...
最新文章
- 湖南大学计算机学院软件专业杨磊,杨磊-湖大信息科学与工程学院
- 史上最全 Python Re 模块讲解(二)
- [17] 楼梯(Stairs)图形的生成算法
- 【WebGIS bug】WARNING: Too many active WebGL contexts. Oldest context will be lost.
- 安信可——PB-03F烧录
- 清华EMBA课程系列思考之一 -- Techmark课程带给管理者的思考
- VR虚拟现实、AR增强现实、MR混合现实三者到底有什么区别?
- arcgis画矢量图
- 企业微信机器人还能这么玩?
- 如何租用虚拟服务器,怎么租用虚拟主机
- ubuntu壁纸1080p
- AI基础:入门人工智能必看的论文
- 什么是附近推?附近推怎么投放?
- 数据库——完整性约束条件
- 还记得这些常用String方法吗?
- 基于Python(Django)+MySQL 实现(Web)SQL智能检测系统的设计与实现【100010694】
- HI3861学习笔记(26)——接入中国移动物联网开放平台OneNET
- 计算机专业英语推荐信,关于英文推荐信范文3篇
- 【云计算】2_云服务器产品介绍
- 最全的Android开源项目集合(转)你想实现的我都有!
热门文章
- Java使用opencv调用微信扫描二维码引擎,附带windows和linux需要的动态库文件
- SpringBoot如何自定义启动的Banner 在线生成SpringBoot启动的Banner工具 如何使用在线生成工具生成的SpringBoot的Banner
- 在线教育平台搭建的几种方案
- 城市精细化治理过程中的智能图像识别如何更精准、更智能?
- php语言是什么什么环境,什么是php语言
- 头像截图上传两种方式(SWFUpload、一个简单易用的flash插件)
- 使用python Tqdm 进度条库让你的python进度可视化
- 1.Python下载与安装教程 For Windows
- hdu4322 candy 费用流
- 趣谈C语言(基础篇)