【ARM 安全系列介绍 3.4 -- 安全证书介绍】

文章目录

  • 安全证书
      • 安全证书的主要组成部分
      • 安全证书的应用场景
      • 证书使用举例
    • 证书格式
      • PEM (Privacy Enhanced Mail)
      • DER (Distinguished Encoding Rules)
      • PKCS#7/P7B (Public Key Cryptography Standards #7)
      • PKCS#12/PFX (Public Key Cryptography Standards #12)
      • P7B 和 PFX/P12 的区别
      • 证书示例

【ARM 安全系列介绍 3.4 -- 安全证书介绍】_第1张图片

安全证书

安全证书,通常指的是数字证书(Digital Certificate),是由可信任的第三方机构(称为证书颁发机构,Certificate Authority,简称 CA)发行的一种证明文件。它用于确认某个实体(如个人、公司、网站服务器等)的身份,并且使用公钥加密技术来帮助确保数据的安全传输。

安全证书的主要组成部分

  • 公钥(Public Key):用于加密信息,以便只有相应的私钥持有者能解密。
  • 私钥(Private Key):由证书持有者安全保管,用于解密公钥加密的信息或对数据进行签名。
  • 证书所有者信息:证书持有者的标识信息,如个人姓名、组织名等。
  • 颁发机构信息:证书由哪个 CA 颁发的信息。
  • 有效期:证书的有效日期范围。
  • 证书指纹:证书的数字摘要,通常是通过散列(哈希)函数生成,用于证书的验证。
  • 数字签名:CA 使用其私钥对证书内容(包括公钥和证书所有者信息)进行签名。

安全证书的应用场景

  • HTTPS:安全超文本传输协议(Secure Hypertext Transfer Protocol)其中的 ‘S’ 即代表了安全,这需要使用 SSL/TLS 证书来建立加密的连接。
  • 电子商务交易:在在线交易中,它保证交易信息的安全和用户身份的验证。
  • 电子邮箱加密:数字证书可以用来加密电子邮件内容,保证只有收件人可以阅读。
  • 代码签名:开发者可以对他们发布的软件进行数字签名,以证明软件的完整性和出处。
  • VPN:虚拟私人网络(Virtual Private Networks)使用证书来建立安全连接。

证书使用举例

假设您访问一个网站 https://www.example.com,这个网站使用了 SSL/TLS 安全证书。以下是可能发生的步骤:

  1. 您的浏览器向 www.example.com 发出连接请求。
  2. 服务器将其安全证书发送给您的浏览器。
  3. 您的浏览器检查证书是否由受信任的 CA 签发,以及证书是否有效(未过期且未被撤销)。
  4. 如果证书受信任,浏览器将使用证书中的公钥加密一个随机生成的会话密钥,并发送给服务器。
  5. 服务器使用对应的私钥解密会话密钥。
  6. 之后的通信都将使用这个会话密钥进行加密,确保数据传输的安全性。

一个具体的例子是 Let’s Encrypt,这是一个提供免费 SSL/TLS 证书的 CA。它使网站管理员可以免费、自动化地获取安全证书,以启用 HTTPS 加密。

安全证书在现代通信中扮演着至关重要的角色,几乎任何需要保证数据安全性和完整性的场合都可能会用到它。

证书格式

安全证书主要有以下几种格式,每种格式根据其存储和使用的特点有不同的用途:

PEM (Privacy Enhanced Mail)

  • 扩展名: .pem, .crt, .cer, .key
  • 包含: 可以包含证书(public key)、私钥(private key)或者这两者的组合。
  • 编码方式: ASCII Base64 编码,以 “-----BEGIN CERTIFICATE-----” 开始,以 “-----END CERTIFICATE-----” 结束。
  • 用途: 广泛支持,用于各种不同的系统和应用中,例如Apache和其他Web服务器,以及在Linux系统中。

DER (Distinguished Encoding Rules)

  • 扩展名: .der, .cer
  • 包含: 只包含证书,不包括私钥。
  • 编码方式: 二进制格式。
  • 用途: 常用于Java平台和Windows系统。

PKCS#7/P7B (Public Key Cryptography Standards #7)

  • 扩展名: .p7b, .p7c
  • 包含: 可以包含证书链(除了根证书),不包含私钥。
  • 编码方式: ASCII Base64 编码,以 “-----BEGIN PKCS7-----” 开始,以 “-----END PKCS7-----” 结束。
  • 用途: 通常用于Windows服务器和Java Tomcat。

PKCS#12/PFX (Public Key Cryptography Standards #12)

  • 扩展名: .p12, .pfx
  • 包含: 可以包含证书链、私钥和证书的公钥。
  • 编码方式: 二进制格式。
  • 用途: 主要用于Windows系统,也支持其他系统。适用于需要同时导出证书和私钥的情况。

P7B 和 PFX/P12 的区别

主要在于:

  • P7B 只包含证书和证书链,不包含私钥,通常用于证书导出和备份。
  • PFX/P12 包含证书、证书链和私钥,是用于证书导出和迁移的全面格式,尤其是在需要将证书和私钥一并迁移时使用。

证书示例

一个 PEM 格式的证书示例如下:

-----BEGIN CERTIFICATE----- 
MIIDdTCCAl2gAwIBAgIJAKC1Hi6Pb8m1MA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkJFMRkwFwYDVQQKDBBHbG9iYWxTaWduIG52LXNhMRswGQYDVQQDDBJHbG9i 
 ... 
-----END CERTIFICATE----- 

一个 DER 格式的证书通常无法在文本编辑器中打开,因为它是二进制编码的。 在交互式命令行或脚本中,你可以使用 OpenSSL 工具来转换证书的格式,例如,将 PEM 转换为 DER:

openssl x509 -outform der -in certificate.pem -out certificate.der 

或者将 DER 转换为 PEM:

openssl x509 -inform der -in certificate.der -out certificate.pem 

请注意,根据你的证书和私钥在文件中的存放方式,可能还需要额外的命令来处理它们(例如,从 PKCS#12 容器中提取私钥和证书)。

你可能感兴趣的:(#,【ARM,安全加解密专栏】,安全,CA,安全证书)