数字签名与认证

一些基础

RSA 密钥对(key pair)

  1. 生成私钥
openssl genrsa -out private.pem 2048
  1. 由私钥公钥生成
openssl rsa -in private.pem -pubout -out public.pem

=========================================

https 协议在真正进行 http 通信之前,需要 浏览器与服务器 之间协商好加密密钥,而在协商之前,浏览器会先验证服务器的合法性。怎么验证浏览器的合法性呢?肯定需要第三方认证机构的支持,这个第三方就是CA机构。

CA机构

CA机构会给浏览器和服务器各自一个证书:

  • 浏览器这边边的这书保存的是CA给服务器分配的公钥,比如:
服务器 公钥
baidu.com key.pub A
sina.com key.pub B
  • 服务器这边保存的证书保存的是:
  1. 服务器公钥 — 服务器自己用于后续通讯加密使用的公钥
  2. 数字签名 — 用CA机构给服务器分配的私钥(和浏览器端保存的对应的公钥是一对)对服务器公钥加密生成的数字签名。

数字签名验证

签名

假设服务器的公钥在 server_key.pub 这个文件里。

  1. 生成摘要
openssl dgst -sha256 server_key.pub > hash.digest

假设证书对私钥是 privatekey.pem
2. 签名 — 对摘要rsa

openssl rsautl -sign -inkey privatekey.pem -keyform PEM -in hash.digest >signature
验证

假设浏览器分配给服务器的公钥在 publickey.pem 里
仅验证签名:

openssl rsautl -verify -inkey publickey.pem -pubin -keyform PEM -in signature

连带签名的内容一起验证:
这里签名的内容就是 上面提到的服务器公钥 server_key.pub

openssl dgst -sha256 -verify publickey.pem -signature signature server_key.pub

自签名证书

自制证书之前,先了解一下CSR

Certificate Signing Requests

为了向CA机构申请证书,需要一个 CSR (Certificate Signing Requests),CSR里包含了服务器的公钥和其他一些信息。CA会在给你的签名签名证书插入这些信息。

生成CSR

openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

生成了一个CSR domain.csr,顺带手生成了一个 rsa 私钥 domain.key。可以断定,domain.csr 里一定包含 domain.key 对应对公钥。

由私钥和CSR生成自签名证书

openssl x509 -in domain.csr -signkey domain.key -req -days 365 -out domain.crt

domain.crt 证书就生成了。

reference
reference

你可能感兴趣的:(数字签名与认证)