我們用的操作系統(tǒng)（windows, linux, unix ,android, ios等）都預(yù)置了很多信任的根證書，比如我的windows中就包含VeriSign的根證書，那么瀏覽器訪問(wèn)服務(wù)器比如支付寶www.alipay.com時(shí)，SSL協(xié)議握手時(shí)服務(wù)器就會(huì)把它的服務(wù)器證書發(fā)給用戶瀏覽器，而這本服務(wù)器證書又是比如VeriSign頒發(fā)的，自然就驗(yàn)證通過(guò)了。

國(guó)內(nèi)許多公司的做法：自己做根證書CA（自己充當(dāng)類似于VeriSign的角色），然后讓用戶下載安裝根CA（當(dāng)然了，其中只含有公鑰）到機(jī)器中，12306就是這樣干的（SRCA就是12306的根證書），然后再自己給自己頒發(fā)服務(wù)器證書，這樣用戶機(jī)器上也有他的CA，服務(wù)器發(fā)來(lái)的服務(wù)器證書也是這本CA頒發(fā)的，當(dāng)然也順利通過(guò)了。

服務(wù)器認(rèn)證客戶端：

服務(wù)器端通過(guò)根CA給客戶端頒發(fā)客戶端證書，在制作客戶端證書時(shí)加上和機(jī)器相關(guān)的信息就可以保證在特定的時(shí)候某個(gè)帳號(hào)只能在這臺(tái)機(jī)器上和服務(wù)器交換報(bào)文，比如我們用支付寶時(shí)必須下載安裝數(shù)字證書時(shí)，可以命名這本證書叫"我的筆記本"或者是"公司電腦"之類的，就是支付寶給用戶頒發(fā)證書，只能在這臺(tái)機(jī)器上用，你換了機(jī)器就必須重新申請(qǐng)。建立SSL連接時(shí)，先是服務(wù)器將自己的服務(wù)器證書發(fā)給客戶端，驗(yàn)證通過(guò)后，客戶端就把自己的客戶端證書發(fā)給服務(wù)器進(jìn)行驗(yàn)證，如果通過(guò)，再進(jìn)行后面的處理。

下面來(lái)說(shuō)說(shuō)如何自己制作根CA證書以及服務(wù)器證書和客戶端證書：

客戶端安裝服務(wù)器根證書ca.crt到客戶端信任證書庫(kù)中，服務(wù)器端安裝服務(wù)器根證書ca.crt到服務(wù)器信任證書庫(kù)中。

SSL握手時(shí)，服務(wù)器先將服務(wù)器證書server.p12發(fā)給客戶端，客戶端會(huì)到客戶端信任證書庫(kù)中進(jìn)行驗(yàn)證，

因?yàn)閟erver.p12是根證書CA頒發(fā)的，所以驗(yàn)證通過(guò)；然后客戶端將客戶端證書client.p12發(fā)給服務(wù)器，同理因?yàn)閏lient.p12是根證書CA頒發(fā)的，所以驗(yàn)證通過(guò)。

先下載安裝xca工具，地址是http://xca.hohnstaedt.de/

先用xca創(chuàng)建一本ca證書

xca打開(kāi)的界面

依次File, New DataBase，選擇xdb文件保存路徑，再輸入密碼

切換到Certificates頁(yè)面，點(diǎn)擊New Certificate

出現(xiàn)如下界面

因?yàn)橐獎(jiǎng)?chuàng)建根證書，這里選擇序號(hào)為1的自認(rèn)證證書，簽名算法選擇SHA 256，證書模版選擇默認(rèn)CA，再點(diǎn)擊Apply all（這個(gè)不能漏）如下所示：

再切到Subject頁(yè)面，填好各個(gè)字段，都可以隨便填

再點(diǎn)擊Generate a new key生產(chǎn)私鑰

最后點(diǎn)擊OK，CA證書做好了，有效期默認(rèn)10年

將根證書導(dǎo)出成只包含公鑰的證書格式，這本根證書就是放在網(wǎng)站上供用戶下載安裝，或主動(dòng)安裝到客戶機(jī)器中的：

制作服務(wù)器證書、客戶端證書和制作CA證書差不多，只有兩個(gè)地方不一樣：

選擇已經(jīng)制作好的根CA，然后點(diǎn)擊New Certificate

簽名時(shí)，選擇使用根證書，這里是hangzhou進(jìn)行簽名頒發(fā)，然后證書模版選擇服務(wù)器（制作客戶端證書就選擇HTTPS_client），其他都和制作根證書一樣，然后點(diǎn)擊Apply

all（這個(gè)一定不能忘），然后再切到Subject、Extension頁(yè)面填寫相應(yīng)的東西就OK了

制作完成：

然后再將服務(wù)器證書導(dǎo)出來(lái)，選擇p12格式

同理制作客戶端證書，并將之導(dǎo)出，也是p12格式的證書，包含私鑰

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.cokiv.cn/20530.html

上一篇：<iOS 10 適配 ATS 下一篇：網(wǎng)站加密免費(fèi)SSL>

相關(guān)開(kāi)發(fā)語(yǔ)言

SQL執(zhí)行錯(cuò)誤，請(qǐng)檢查