CA证书

CA证书简介：

    CA 也拥有一个证书（内含公钥和私钥）。网上的公众用户经过验证 CA 的签字从而信任 CA ，任何人均可以获得 CA 的证书（含公钥），用以验证它所签发的证书。

    若是用户想获得一份属于本身的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，而且 CA 将该公钥与申请者的身份信息绑在一块儿，并为之签字后，便造成证书发给申请者。

    若是一个用户想鉴别另外一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证经过，该证书就被认为是有效的。证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

    证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法广泛遵循X.509 国际标准。

 

CA证书申请：

    选用沃通证书机构申请，填写申请资料绑定域名，上传资料，验证后经过；

 

公钥和私钥

    公钥（Public Key）与私钥（Private Key）使经过一种算法获得的一个密钥对，公钥是密钥对中公开的部分，私钥则是非公开的部分。

     公钥一般用于加密会话密钥、验证数字签名，或加密能够用相应的私钥解密的数据，经过这种算法获得的密钥对能保证在世界范围内是惟一的，使用这个密钥对的时候，若是用其中一个密钥加密一段数据，必须用另外一个密钥解密；

 

     数字证书是一个经证书受权中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件，最简单的证书包含一个公开密钥、名称以及证书受权中心的数字签名，数字证书还有一个重要的特征就是只在特定的时间段内有效；

 

1、使用 OpenssL 生成私钥

     

     openssl genres -out myprivate.pem 2048

     私钥文件：myprivate.pem，其中“2048”为加密长度；

 

    私钥和公钥一一对应，私钥若是丢失或损坏，申请的对应公钥和数字证书将没法使用；

 

2、证书链

    

    证书链由两个环节组成—信任锚（CA 证书）环节和已签名证书环节。自我签名的证书仅有一个环节的长度—信任锚环节就是已签名证书自己。

证书链(certificate chain)

    证书链能够有任意环节的长度，因此在三节的链中，信任锚证书CA 环节能够对中间证书签名；中间证书的全部者能够用本身的私钥对另外一个证书签名。CertPath API 能够用来遍历证书链以验证有效性，也能够用来构造这些信任链。

    Web 浏览器已预先配置了一组浏览器自动信任的根 CA 证书。来自其余证书受权机构的全部证书都必须附带证书链，以检验这些证书的有效性。证书链是由一系列 CA 证书发出的证书序列，最终以根 CA 证书结束。

    证书最初生成时是一个自签名证书。自签名证书是其签发者（签名者）与主题（其公共密钥由该证书进行验证的实体）相同的证书。若是拥有者向 CA 发送证书签名请求 (CSR)，而后输入响应，自签名证书将被证书链替换。链的底部是由 CA 发布的、用于验证主题的公共密钥的证书（回复）。链中的下一个证书是验证 CA 的公共密钥的证书。一般，这是一个自签名证书（即，来自 CA、用于验证其自身的公共密钥的证书）而且是链中的最后一个证书。

    在其余状况下，CA 可能会返回一个证书链。在此状况下，链的底部证书是相同的（由 CA 签发的证书，用于验证密钥条目的公共密钥），可是链中的第二个证书是由其余 CA 签发的证书，用于验证您向其发送了 CSR 的 CA 的公共密钥。而后，链中的下一个证书是用于验证第二个 CA 的密钥的证书，依此类推，直至到达自签名的根证书。所以，链中的每一个证书（第一个证书以后的证书）都须要验证链中前一个证书的签名者的公共密钥。

 

    阿里云上的 CA 证书服务，手动生成 CRS 文件或者阿里云系统生成，提交沃通获取公钥，可绑定在阿里云的负载均衡处；

 

apache 和 nginx 也能够配置 ssl 模块；