certificado https clave privada clave pública
Introducción
El uso del protocolo HTTP (Transferencia de Hipertexto) para acceder a datos en Internet no está cifrado. En otras palabras, cualquiera puede interceptar o monitorear el flujo de datos transmitidos en la red con las herramientas adecuadas. Pero a veces necesitamos transmitir algunos datos seguros o privados a través de la red, como pedidos electrónicos que contienen información de productos y tarjetas de crédito. En este momento, si todavía usa el protocolo HTTP, ¡definitivamente enfrentará grandes riesgos! Creo que nadie puede aceptar que su número de tarjeta de crédito se utilice desnudamente en Internet.
El protocolo HTTPS (Hypertext Transfer Security) sin duda puede resolver eficazmente este problema. El llamado HTTPS es en realidad una combinación de HTTP y SSL/TLS, que se utiliza para proporcionar comunicación cifrada y autenticación de servidores de red. La idea principal de HTTPS es crear un canal seguro en una red no segura para evitar que los piratas informáticos escuchen y ataquen.
SSL (Secure Socket Layer) se puede utilizar para cifrar el flujo de datos entre el servidor web y el cliente.
SSL utiliza tecnología de criptografía asimétrica para el cifrado de datos. En el proceso de cifrado se utilizan dos claves secretas: una clave pública y una clave privada correspondiente. Los datos cifrados con una clave pública solo se pueden descifrar con la clave privada correspondiente; los datos cifrados con una clave privada solo se pueden descifrar con la clave pública correspondiente. Por tanto, si un mensaje o flujo de datos transmitido a través de la red está cifrado con la clave privada del servidor, sólo podrá descifrarse utilizando su clave pública correspondiente, garantizando así la seguridad de los datos entre el cliente y el servidor.
Certificado digital (Certificado)
En el proceso de transmisión de HTTPS, existe un papel muy clave: el certificado digital. Entonces, ¿qué es un certificado digital? ¿De qué sirve?
El llamado certificado digital es un mecanismo de reconocimiento de identidad para los ordenadores. La firma (sello) realizada por una autoridad de certificación digital (CA) en un archivo de solicitud de firma creado utilizando una clave privada indica el reconocimiento del titular del certificado por parte de la estructura de la CA. Los certificados digitales tienen las siguientes ventajas:
El uso de certificados digitales puede mejorar la credibilidad del usuario
La clave pública del certificado digital se puede combinar con la clave privada del servidor para lograr el cifrado de datos. y descifrado durante la transmisión
Durante la verificación de la identidad del usuario, los datos personales confidenciales del usuario no se transmitirán al sistema de red del titular del certificado
X El certificado .509 contiene tres archivos: clave , rsc y crt.
la clave es un archivo de clave privada en el servidor, que se utiliza para cifrar los datos enviados al cliente y descifrar los datos recibidos del cliente.
csr es un archivo de solicitud de firma de certificado, que se utiliza para enviar a la autoridad certificadora (CA) para firmar el certificado
crt es un certificado firmado por la autoridad certificadora (CA), o un certificado autofirmado por el desarrollador, que incluye la información del titular del certificado, la información pública del titular clave, y la firma del firmante y otra información
Nota: En criptografía, X.509 es un estándar que estandariza la autenticación de clave pública, las listas de revocación de certificados y los certificados de autorización, el algoritmo de verificación de ruta de credenciales, etc.
Pasos para crear un certificado autofirmado
Nota: Los siguientes pasos son solo para configurar certificados SSL necesarios para uso interno o pruebas.
Paso 1: Generar clave privada
Utilice la herramienta openssl para generar una clave privada RSA
1$?openssl?genrsa?-des3?-out?server .key?2048
Descripción: genera clave privada rsa, algoritmo des3, potencia de 2048 bits, server.key es el nombre del archivo de clave secreta.
Nota: Para generar una clave privada, es necesario proporcionar una contraseña de al menos 4 dígitos.
Paso 2: Generar CSR (Solicitud de firma de certificado)
Después de generar la clave privada, puede crear el archivo csr.
Hay dos opciones en este punto.
Lo ideal sería enviar el certificado a una autoridad certificadora (CA) que, tras verificar la identidad del solicitante, emitirá un certificado firmado (muy caro). Además, si es solo para necesidades internas o de prueba, también puede usar OpenSSL para implementar la autofirma. Las operaciones específicas son las siguientes:
1$?openssl?req?-new?-key. ?server.key?-out?server.csr
Nota: Debe ingresar el país, la región, la ciudad, la organización, la unidad organizativa, el nombre común y el correo electrónico en orden. Entre ellos, Nombre común, puede escribir su propio nombre o nombre de dominio, si desea admitir alguna empresa). ,?sección)?[ ]:info?tecnología
¿Nombre?común?(por ejemplo?servidor?FQDN?o?SU?nombre)?[]:demo.joyios.com
¿Correo electrónico? ¿Dirección? [ ]: liufan@joyios.com
Paso 3: Eliminar la contraseña en la clave privada
En el proceso de creación de la clave privada en el paso 1, es necesario especificar una contraseña. Y esta contraseña traerá un efecto secundario, es decir, cada vez que Apache inicie el servidor web, se le pedirá que ingrese la contraseña, lo que obviamente es muy inconveniente. Para eliminar la contraseña de la clave privada, haga lo siguiente:
1
2
cp?server.key?server.key.org
openssl?rsa?-in?server.key.org?-out?server.key
Paso 4: Genera un certificado autofirmado
Si no lo haces No quiero pagar un CA Sign, o simplemente probar una implementación concreta de SSL. Entonces, ahora puedes comenzar a generar un certificado autofirmado.
Cabe señalar que cuando se utiliza un certificado temporal autofirmado, el navegador le indicará que se desconoce la autoridad emisora del certificado.
1$?openssl?x509?-req?-days?365?-in?server.csr?-signkey?server.key?-out?server.crt
Descripción : El crt contiene información sobre el titular del certificado, la clave pública del titular y la firma del firmante. Cuando el usuario instala el certificado, significa que confía en el certificado y posee la clave pública. El propósito se indicará en el certificado, como autenticación del servidor, autenticación del cliente o firma de otros certificados. Cuando el sistema reciba un nuevo certificado, el certificado indicará quién lo firmó. Si el firmante realmente puede firmar otros certificados y la firma del certificado recibido coincide con la clave pública del firmante, el sistema confiará automáticamente en el nuevo certificado.
Paso 5: Instale la clave privada y el certificado
Copie los archivos de clave privada y certificado al directorio de configuración de Apache. En el sistema Mac 10.10, cópielos a /etc/. Simplemente vaya. al directorio apache2/.