★ 先说一个通俗的例子 考虑到证书体系的相关知识比较枯燥.晦涩.俺先拿一个通俗的例子来说事儿. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常用的办法是带公司开的一张介绍信,在信中说:兹有张三先生前往贵公司办理业务,请给予接洽......云云.然后在信上敲上A公司的公章. 张三先生到了 B 公司后,把介绍信递给 B 公司的前台李四小姐.李小姐一看介绍信上有 A 公司的公章,而且 A 公司是经常和 B…

转自:http://yale.iteye.com/blog/1675344 原理基础数字证书为发布公钥提供了一种简便的途径,其数字证书则成为加密算法以及公钥的载体,依靠数字证书,我们可以构建一个简单的加密网络应用平台,数字证书就好比我们生活中的身份证,现实中,身份证由公安机关签发,而网络用户的身份凭证由数字证书颁发认证机构—CA签发,只有经过CA签发的证书在网络中才具备可认证性,CA并不是一个单纯的防御手段,它集合了多种密码学算法:消息摘要算法:MD5.和SHA(对数字证书本省做摘要处理,用于验…

背景介绍:关于从CA申请证书这点事,网上的那些教程基本都是让我们通过访问https://server/certsrv这样的网页来操作的,我一直希望不依赖IIS就把这事干了,于是就有了下面的文章. 1. 先解决证书注册时”模板状态不可用“的问题 1.1 搭建完CA服务器之后,不希望使用Web方式申请证书,可以通过如下方式: 1.2 但是随之而来你会遇到一个新问题,系统里明明有一堆的证书模板,但是大部分的状态都是“不可用”: 1.3 这个时候只需要修改你所期望使用的证书模板的安全属性即可: 1.4…

openssl verify -CAfile ca.cer server.crt 现在很多网站和服务都使用了HTTPS进行链路加密.防止信息在传输中间节点被窃听和篡改.HTTPS的启用都需要一个CA证书,以保证加密过程是可信的. 我们可以申请和获得一个CA机构颁发的证书,在软件调试过程中或者机构内部网可以创建自签名的CA证书,在[配置Harbor私有Docker镜像服务使用HTTPS]有关于自签名CA证书制作和使用的描述. 所谓"自签名"就是把自己当成一个CA证书颁发机构,只不过未得到…

1.php使用curl模块报错问题 开发遇到问题,直接使用系统的curl命令正常,使用php的curl模块报错 错误:PHP Problem with the SSL CA cert (path? access rights?) 解决方法:yum reinstall openssl ca-certificates -y 参考链接: http://stackoverflow.com/questions/7179216/php-problem-with-the-ssl-ca-cert-path-ac…

微信红包接口调试过程中一直提示“CA证书出错,请登陆微信支付商户平台下载证书”,经反复调试,大致解决方法如下: 1.首先确保CA证书的路径是否正确,一定得是绝对路径,因为是PHP开发的,这里需要三个pem证书 2.确保服务器支持,新浪云的sae,经测试支持不是很好,一直报错,换用其他服务器后,一次通过 POST红包证书的代码部分如下: function post( $strXml) { $url='https://api.mch.weixin.qq.com/mmpaymkttransfers/s…

所有证书有多种文件编码格式,主要包括: CER编码(规范编码格式):是BER(基本编码格式)的一个变种,比BER规定得更严格DER编码(卓越编码格式):是BER(基本编码格式)的一个变种,  比BER规定得更严格 *CER的不同在于,DER使用定长模式,而CER使用变长模式. 所有证书都符合公钥基础设施(PKI)制定的ITU-T X509国际标准,PKCS(公钥加密标准)由RSA实验室和其他安全系统开发商为促进公钥密码的发展而制定的一系列标准 比如: PKCS#7(密码消息语法标准----文件后…

#!/bin/bash #author Sun Ying #date:2015-12-17 if [ $# -lt 1 ];then echo -e "\033[34mUsage: `basename $0` -h|--help for help\033[0m" exit 0 fi [ -e ./CA_config ] && source ./CA_config ERRLOG=`date +%Y%H%M`.log PASSWORD=${PASSWORD-"12…

TCP/IP:安全 A------->B 机密性:明文传输(ftp,http,smtp,telnet),被窃听 完整性:消息被篡改 身份验证:你访问的主机就是你真实要访问的那台,而不是钓鱼网站 机密性: 加密,即转换规则.算法不变,密钥规则要变. 对称加密:加密和解密的密钥是一致的 完整性: 单向加密算法:提取数据特征码 输入一样:输出必定一样 雪崩效率:输入的微小改变,将会引起结果的巨大改变 定长输出:无论原始数据是多大,结果大小都是相同的 不可逆:无法根据特征码还原原来的数据 协商生成密码:…

用于签名证书请求.生成CRL.维护一个记录已颁发证书和这些证书状态的数据库. 证书请求私用CA的私钥签名之后就是证书. [root@xuexi tmp]# man ca SYNOPSIS openssl ca [-verbose] [-config filename] [-name section] [-gencrl] [-revoke file] [-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_…