一、为什么向公司PKI申请的证书,浏览器会提示风险?
浏览器如何验证SSL证书?
1,在IE浏览器的菜单中点击“工具 /Internet选项”,选择“内容”标签,点击“证书”按钮,然后就可以看到IE浏览器已经信任了许多“中级证书颁发机构”和“受信任的根证书颁发机构。当我们在访问该网站时,浏览器就会自动下载该网站的SSL证书,并对证书的安全性进行检查。
2,由于证书是分等级的,网站拥有者可能从根证书颁发机构领到证书,也可能从根证书的下一级(如某个国家的认证中心,或者是某个省发出的证书)领到证书。假设我们正在访问某个使用 了 SSL技术的网站,IE浏览器就会收到了一个SSL证书,如果这个证书是由根证书颁发机构签发的,IE浏览器就会按照下面的步骤来检查:浏览器使用内置的根证书中的公钥来对收到的证书进行认证,如果一致,就表示该安全证书是由可信任的颁证机构签发的,这个网站就是安全可靠的;如果该SSL证书不是根服务器签发的,浏览器就会自动检查上一级的发证机构,直到找到相应的根证书颁发机构,如果该根证书颁发机构是可信的,这个网站的SSL证书也是可信的。
————————————————
原文链接:https://blog.csdn.net/sj349781478/article/details/85049221
二、CA、公钥、私钥
1、私钥只有一份,放在CA中心
怎么搭建一个CA?需要一个.pl脚本
https://cloud.tencent.com/developer/article/1398963
(1)生成公钥证书
openssl genrsa -out /etc/pki/CA/private/cakey .pem -des 2048
(2)生成私钥
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7000 -out /etc/pki/CA/cacert.pem
(3)去签发别人的证书
权威的CA去加密hash
2、openssl x509 --noout -text -in XXX.der
公钥,也可以叫证书 Issuer和Subject 谁颁发的,颁发给谁
公钥签名:对公钥本身进行使用CA的私钥进行签名
3、.key .pem互为私钥、公钥
打开一个私钥
openssl x509 --noout -text -in XXX.key
里面有prime1和2,就是两个质数。用65537取模反。
(RSA算法原理(kancloud.cn/kancloud/rsa_algorithm/48489):选择p、q,单向陷门函数)
私钥记录了所有的信息,包括公钥
