PKI - 05 证书申请步骤

news2024/9/24 21:18:18

文章目录

  • Pre
  • 概述
  • 第一步:时间同步
  • 第二步: 部署证书服务器
  • 第三步: 客户端产生密钥
  • 第四步: 验证证书服务器
  • 第五步: 申请个人证书
  • 第六步: 审核并签名证书
  • 第七步: 颁发数字证书
  • 第八步: 交换公钥

在这里插入图片描述

Pre

PKI - 02 对称与非对称密钥算法

PKI - 03 密钥管理(如何进行安全的公钥交换)

PKI - 04 证书授权颁发机构(CA) & 数字证书

概述

申请CA(证书颁发机构)证书通常是一个多步骤的过程,以下是一般性的步骤:

  1. 选择合适的CA:首先,您需要选择一个可信赖的CA,通常是一家商业CA,例如Digicert、Entrust、GlobalSign等,或者是自己组织内部的CA。

  2. 准备证书请求(CSR):您需要生成一个证书请求(Certificate Signing Request,CSR)。这是一个包含了您的公钥和身份信息(例如组织名称、国家、城市等)的文件。您可以使用各种工具来生成CSR,例如OpenSSL工具或者Web服务器的管理界面。

  3. 填写申请表格:您需要填写CA提供的证书申请表格,并提供相关的身份和组织信息。这些信息将会与CSR一起提交给CA。

  4. 提交CSR和申请表格:将生成的CSR文件和填写完整的申请表格提交给您选择的CA。这通常是通过CA的在线申请系统或者电子邮件进行的。

  5. 付费(如适用):商业CA通常会收取一定的费用来签发证书。您需要按照CA的要求支付相应的费用。

  6. 审核和验证:CA可能会对您的申请进行审核和验证,以确保您的身份和组织信息的真实性。这可能包括电话确认、邮件验证等方式。

  7. 签发证书:一旦审核和验证通过,CA将使用您的CSR来生成数字证书,并签署该证书以证明其真实性。签发的证书将发送给您,通常是以数字格式(如DER或PEM)。

  8. 安装证书:最后,您需要将签发的证书安装到您的服务器或者应用程序中,以便您的系统可以使用该证书来进行安全的通信和身份验证。

总的来说,申请CA证书是一个比较复杂的过程,需要仔细准备和填写相关信息,并确保按照CA的要求进行操作和支付费用。

申请数字证书的步骤如下:

  1. 强调时间准确性:在申请数字证书之前,需要确保系统的时间是准确同步的,因为证书的有效期取决于时间。任何时间偏差都可能导致证书的有效性受到影响。

  2. 证书服务器设置:首先需要设置证书服务器,这是生成和管理数字证书的关键设施。建议使用微软证书服务器,因为它提供了方便的管理和操作界面。

  3. 获取根证书:在证书服务器设置好之后,需要获取根证书,这是证书链中的最顶层证书,用于签署下级证书。根证书应该是由可信的证书颁发机构(CA)签发的。

  4. 提交公钥和个人信息:申请者需要向证书服务器提交自己的公钥以及个人信息。公钥将会被包含在生成的数字证书中,用于加密和签名数据。

  5. 时间同步:再次强调确保系统时间的准确同步,以防止证书的有效性受到时间偏差的影响。

  6. 数字签名认证:推荐使用数字签名来认证,企业内部可以使用微软证书服务器。数字签名是一种用于验证数字文档真实性和完整性的技术。

  7. 生成和交换数字证书:证书服务器将使用申请者提交的公钥和个人信息来生成数字证书,并将其交换给申请者。这样,申请者就可以安全地进行公钥交换和数据通信了。

  8. 证书的作用和范围:最后,强调了数字证书的作用和范围。数字证书本身并不直接与证书的作用有关,而是用于验证数据的真实性和完整性,以确保安全的通信和交换。

第一步:时间同步

在申请数字证书之前,需要确保系统的时间是准确同步的,因为证书的有效期取决于时间。任何时间偏差都可能导致证书的有效性受到影响。

在这里插入图片描述

第二步: 部署证书服务器

证书服务器是PKI系统的核心组件之一,负责生成、签发、管理和验证数字证书。

在这里插入图片描述

第三步: 客户端产生密钥

在这里插入图片描述

在申请数字证书之前,每个实体都需要预先生成RSA密钥对。RSA密钥对包括一个公钥和一个私钥,用于加密和解密数据以及进行数字签名和验证。

生成RSA密钥对的过程通常包括以下步骤:

  1. 选择密钥长度:根据安全需求,选择适当的RSA密钥长度。一般来说,密钥长度越长,安全性越高,但也会增加计算和处理的复杂度。

  2. 生成密钥对:使用相应的工具或库(如OpenSSL、Java的KeyPairGenerator等),在本地计算机上生成RSA密钥对。生成的密钥对将包括一个公钥和一个私钥。

  3. 保护私钥:私钥是非常敏感的信息,必须妥善保护。通常情况下,私钥应该存储在安全的地方,并且只有少数授权的人员可以访问。

  4. 导出公钥:将生成的公钥导出,并在申请数字证书时提交给证书颁发机构(CA)。公钥是证书中的一部分,用于加密和验证数据。

  5. 生成证书请求:在申请数字证书时,您需要生成一个证书请求(Certificate Signing Request,CSR)。CSR包含了您的公钥以及一些身份信息,用于证书颁发机构(CA)生成数字证书。

通过以上步骤,每个实体都可以生成自己的RSA密钥对,并在申请数字证书时使用这对密钥。这样可以确保通信和数据的安全性,以及证书的真实性和完整性。

第四步: 验证证书服务器

每一个实体需要获取证书服务器的根证书,里包含证书服务器的公钥。获取了根证书后,可以通过fingerprint离线验证证书服务器。

在这里插入图片描述

在建立安全通信时,每个实体确实需要获取证书服务器的根证书,该根证书包含了证书服务器的公钥。根证书是信任链中的最顶层证书,用于验证证书链中其他证书的真实性。

一旦实体获取了根证书,它可以通过根证书的指纹(fingerprint)来进行离线验证证书服务器。指纹通常是根据证书内容计算出来的一个唯一标识符,类似于证书的摘要或哈希值。通过比对收到的证书服务器证书的指纹和预先获取的根证书指纹,实体可以确保证书服务器的真实性和完整性。

这种离线验证方式可以帮助实体在无法在线验证证书有效性时,仍然能够确认证书的真实性,从而保证了安全通信的可靠性。

获取根证书 也就是获取证书服务器的公钥的过程。

第五步: 申请个人证书

申请个人证书每一个实体发送自己的个人信息和公钥到证书服务器。
在这里插入图片描述

申请个人证书时,每个实体需要将自己的个人信息和公钥发送给证书服务器。这个过程通常包括以下步骤:

  1. 生成密钥对:首先,实体需要生成自己的RSA密钥对,包括一个公钥和一个私钥。

  2. 填写申请表格:实体需要填写证书申请表格,提供个人信息,如姓名、电子邮件地址、组织名称(如果适用)、国家等。

  3. 生成证书请求(CSR):使用生成的RSA密钥对,实体生成证书请求(CSR)。CSR包含了个人信息以及公钥,并被加密签名。

  4. 提交CSR到证书服务器:实体将生成的CSR提交给证书服务器,以请求颁发个人证书。通常,这是通过证书服务器提供的在线界面或API来完成的。

  5. 证书服务器验证:证书服务器会验证CSR中包含的个人信息和公钥,并进行必要的身份验证。这可能包括检查提交的个人信息是否与其他记录匹配,或通过其他身份验证方式。

  6. 签发证书:一旦验证通过,证书服务器将使用自己的私钥签署CSR,生成数字证书,并将其发送回实体。

  7. 安装证书:最后,实体需要将收到的数字证书安装到自己的设备或应用程序中,以便使用该证书进行安全通信和身份验证。

通过以上步骤,实体可以成功申请个人证书,并在安全通信中使用该证书进行身份验证和加密。

第六步: 审核并签名证书

管理员对每一个证书请求进行审核,并且对个人信息和公钥内容进行数字签名,签名后的文件即为数字证书。

在这里插入图片描述

在证书颁发过程中,管理员或证书颁发机构(CA)会对每个证书请求进行审核。这个审核过程通常包括验证申请者的身份信息和公钥的有效性。一旦审核通过,管理员将对证书请求中的个人信息和公钥内容进行数字签名。

数字签名是一种用于验证数据真实性和完整性的技术,它使用私钥对数据进行加密,从而生成一个唯一的签名值。签名后的文件即为数字证书,它包含了个人信息、公钥以及管理员的数字签名。

签名后的数字证书具有以下特点:

  1. 身份验证:数字证书中包含了申请者的个人信息和公钥,并由管理员的数字签名进行了认证。这样,其他实体可以通过验证签名来确认证书的真实性和完整性,从而确保通信的安全性。

  2. 公钥分发:数字证书中包含了申请者的公钥,其他实体可以使用这个公钥来加密数据或验证数字签名,实现安全通信。

  3. 信任链:数字证书的签名是通过证书颁发机构(CA)的私钥生成的,因此数字证书形成了一个信任链。如果用户信任这个CA,那么就可以信任该证书的真实性。

  4. 证书有效期:数字证书通常具有一定的有效期限,超过该期限后需要重新申请并签发新的证书。

通过审核并签名证书的过程,管理员可以确保颁发的数字证书具有可信度和完整性,从而为安全通信提供了基础保障。

第七步: 颁发数字证书

证书服务器把签名的证书颁发给实体。

在这里插入图片描述

颁发数字证书是PKI系统中的关键步骤之一,它表示证书颁发机构(CA)将经过审核并签名的证书发送给实体。

在颁发数字证书的过程中,证书服务器将签名的数字证书发送给实体。这个数字证书包含了实体的公钥和个人信息,并且经过了证书颁发机构的数字签名,以确保证书的真实性和完整性。

颁发数字证书的过程通常包括以下步骤:

  1. 签名数字证书:证书服务器使用自己的私钥对经过审核的证书请求进行数字签名,生成数字证书。签名的过程确保了证书的真实性和完整性。

  2. 发送数字证书:一旦数字证书签名完成,证书服务器将该数字证书发送给实体。这通常是通过安全的通信渠道(如加密的网络连接或安全的文件传输)进行的,以确保证书在传输过程中不被篡改。

  3. 接收数字证书:实体收到数字证书后,通常会将其保存到自己的设备或应用程序中。这个数字证书将用于安全通信和身份验证,以及加密和解密数据。

通过颁发数字证书,证书颁发机构为实体提供了一种安全、可信的方式来进行加密通信和身份验证,从而保护了通信的安全性和隐私性。

第八步: 交换公钥

交换证书,证明实体与公钥之间的关联,公钥的具体作用由运用来决定。

在这里插入图片描述
交换公钥是建立安全通信的关键步骤之一,它确保了通信双方可以相互验证身份并加密通信数据。

在数字证书系统中,交换证书是通过将数字证书发送给通信对方来实现的。数字证书包含了公钥和相关的个人信息,并经过了证书颁发机构(CA)的数字签名。因此,接收方可以通过验证数字签名来确保证书的真实性和完整性。

交换证书的过程通常包括以下步骤:

  1. 发送数字证书:一方将自己的数字证书发送给通信对方。这通常是通过安全的通信渠道进行的,以防止证书在传输过程中被篡改。

  2. 验证数字证书:接收方收到数字证书后,会首先验证证书的真实性和完整性。这包括检查数字签名是否有效、证书是否过期以及证书是否与发送方相关联等。

  3. 获取公钥:一旦验证通过,接收方就可以从数字证书中获取发送方的公钥。这个公钥将用于后续的加密通信和身份验证。

  4. 建立安全通信:双方现在可以使用对方的公钥来加密通信数据,并使用自己的私钥来解密数据。这样就可以确保通信的机密性和完整性,同时也可以相互验证身份。

通过交换证书,通信双方建立了安全的通信信道,并确保了通信的安全性和可信度。这种基于数字证书的安全机制被广泛应用于网络通信、电子商务和其他安全敏感的应用场景中。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1439265.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Docker Compose实例

Docker Compose实例

目录 一、前提说明 二、简单的Docker容器部署案例 1. Dockerfile 配置 2. docker-compose.yml 配置 3. application.properties 配置 4. pom.xml 配置 5. 上传文件 6. 创建基础Docker镜像 7. docker-compose.yml编排 8. 停止并删除容器编排 一、前提说明 在配置好Do…
阅读更多...
路由器如何映射端口映射?

路由器如何映射端口映射?

在现代互联网中,随着网络应用的不断发展,很多用户需要进行远程访问或搭建服务器来满足自己的需求。由于网络安全的原因,直接将内网设备暴露在公网中是非常危险的。为了解决这个问题,路由器映射端口映射技术应运而生。本文将介绍什…
阅读更多...
STM32控制JQ8400语音播报模块

STM32控制JQ8400语音播报模块

时间记录:2024/2/7 一、JQ8400引脚介绍 标示说明ONE LINE一线操作引脚BUSY忙信号引脚,正在播放语音时输出高电平RX串口两线操作接收引脚TX串口两线操作发送引脚GND电源地引脚DC-5V电源引脚,3.3-5VDAC-RDAC输出右声道引脚DAC-LDAC输出左声道…
阅读更多...
2023年第四季度硬盘容量强势增长9%

2023年第四季度硬盘容量强势增长9%

在2023年第四季度(CQ4 23),硬盘驱动器(HDD)市场的总容量出货量环比增长9%,达到214EB,而单位出货量保持在2900万块不变。其中,近线存储(Nearline)硬盘的容量出…
阅读更多...
【MySQL】MySQL复合查询--多表查询/自连接/子查询

【MySQL】MySQL复合查询--多表查询/自连接/子查询

文章目录 1.基本查询回顾2.多表查询3.自连接4.子查询4.1单行子查询4.2多行子查询4.3多列子查询4.4在from子句中使用子查询4.5合并查询4.5.1 union4.5.2 union all 1.基本查询回顾 表的内容如下: mysql> select * from emp; ----------------------------------…
阅读更多...
基于Skywalking开发分布式监控(二)

基于Skywalking开发分布式监控(二)

续上篇,上一篇主要是讲了为啥选skywalking,以及怎么有针对性改造SW Agent,现在我们继续看看如何构建自定义Trace跟踪链 要对SW Agent插件做适当剪裁,原来包括customize插件在内SW 8.9有100多个插件,如果没有作用也就罢…
阅读更多...
C#调用WechatOCR.exe实现本地OCR文字识别

C#调用WechatOCR.exe实现本地OCR文字识别

最近遇到一个需求:有大量的扫描件需要还原为可编辑的文本,很显然需要用到图片OCR识别为文字技术。本来以为这个技术很普遍的,结果用了几个开源库,效果不理想。后来,用了取巧的方法,直接使用了WX的OCR识别模…
阅读更多...
STM32 新建寄存器版本MDK工程简要步骤

STM32 新建寄存器版本MDK工程简要步骤

新建工程文件夹 新建一个工程根目录文件夹,并在该文件夹里新建D/M/O/P/U文件夹。 Drivers:存放与硬件相关的驱动层文件Middlewares:存放正点原子提供的中间层组件文件和第三方中间层文件Output:存放工程编译输出文件Projects&am…
阅读更多...
介绍一下BFS

介绍一下BFS

BFS,即广度优先搜索(Breadth-First Search),是一种图形搜索算法,用于在图或树等数据结构中遍历或搜索节点。这种算法从根节点开始,沿着树的宽度遍历树的节点,直到找到目标节点或遍历完所有节点。…
阅读更多...
cnpm : 无法加载文件 C:\Users\xxx\AppData\Roaming\npm\cnpm.ps1

cnpm : 无法加载文件 C:\Users\xxx\AppData\Roaming\npm\cnpm.ps1

cnpm命令被禁止使用 我已经安装cnpm ,但是使用不了,重新安装也没用。 报错如下图: cnpm无法使用报错 解决问题 1、打开系统Windows PowerShell,使用管理员身份运行。 打开Windows PowerShell 2、输入set-ExecutionPolicy RemoteSigned&a…
阅读更多...
FPGA_工程_按键控制的基于Rom数码管显示

FPGA_工程_按键控制的基于Rom数码管显示

一 信号 框图: 其中 key_filter seg_595_dynamic均为已有模块,直接例化即可使用,rom_8*256模块,调用rom ip实现。Rom_ctrl模块需要重新编写。 波形图: 二 代码 module key_fliter #(parameter CNT_MAX 24d9_999_99…
阅读更多...
BlueLotus 下载安装使用

BlueLotus 下载安装使用

说明 蓝莲花平台BlueLotus,是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。 正常执行反射型xss和存储型xss: 反射型在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是在将poc代码注入用…
阅读更多...
grafana+prometheus+hiveserver2(jmx_exporter+metrics)

grafana+prometheus+hiveserver2(jmx_exporter+metrics)

一、hiveserver2开启metrics&#xff0c;并启动jmx_exporter 1、修改hive-site.xml文件开启metrics <property><name>hive.server2.metrics.enabled</name><value>true</value> </property> <property><name>hive.service.m…
阅读更多...
idea 配置文件,中文出现乱码如何解决

idea 配置文件,中文出现乱码如何解决

在进行 spring 项目开发时&#xff0c;项目中有 application.properties/application.yml 等配置文件&#xff0c;在配置文件中使用中文注解时可能会出现乱码的情况&#xff0c;如下&#xff1a; 这是因为 idea 配置文件的编码和其他文件的不同&#xff0c;我们需要修改配置文件…
阅读更多...
特征工程:特征提取和降维-上

特征工程:特征提取和降维-上

目录 一、前言 二、正文 Ⅰ.主成分分析 Ⅱ.核主成分分析 三、结语 一、前言 前面介绍的特征选择方法获得的特征&#xff0c;是从原始数据中抽取出来的&#xff0c;并没有对数据进行变换。而特征提取和降维&#xff0c;则是对原始数据的特征进行相应的数据变换&#xff0c;并…
阅读更多...
leetcode707. 设计链表

leetcode707. 设计链表

leetcode707. 设计链表 题目 思路 1.使用虚头节点&#xff0c;模拟class的初始化 2.class中添加一个链表长度的属性&#xff0c;便于后续操作 代码 class ListNode:def __init__(self, val0, nextNone):self.val valself.next nextclass MyLinkedList:def __init__(self)…
阅读更多...
优化梯度下降算法

优化梯度下降算法

文章目录 Optimization problemNormalizing inputsvanishing/exploding gradientsweight initializegradient checkNumerical approximationgrad check Optimize algorithmmini-bach gradientmini-batch size exponential weighted averagesBias correctionMomentum RMSpropAda…
阅读更多...
Q-Tester:适用于开发、生产和售后的诊断测试软件

Q-Tester:适用于开发、生产和售后的诊断测试软件

Q-Tester.Expert是一款基于ODX&#xff08;ASAM MCD-2D / ISO 22901-1&#xff09;国际标准的工程诊断仪。通过此诊断仪可实现与ECU控制器之间的数据交互。这一基于ODX国际标准的解决方案&#xff0c;其优势在于&#xff1a;ODX数据库不仅可在开发部门交互&#xff0c;而且可在…
阅读更多...
【RT-DETR有效改进】计算训练好权重文件对应的FPS、推理每张图片的平均时间(科研必备)

【RT-DETR有效改进】计算训练好权重文件对应的FPS、推理每张图片的平均时间(科研必备)

👑欢迎大家订阅本专栏,一起学习RT-DETR👑 一、本文介绍 本文给大家带来的改进机制是利用我们训练好的权重文件计算FPS,同时打印每张图片所利用的平均时间,模型大小(以MB为单位),同时支持batch_size功能的选择,对于轻量化模型的读者来说,本文的内容对你一定有…
阅读更多...
使用influxdb+Grafana+nmon2influxdb+nmon实时监控vps性能

使用influxdb+Grafana+nmon2influxdb+nmon实时监控vps性能

Grafana可以用来实时查看linux系统的各种性能数据。 1、安装环境&#xff1a; centos 7influxdb1.7.6grafana-4.6.3-1nmon2influxdb-2.1.7nmon-16m 2、安装influxdb&#xff1a; 下载rpm包&#xff1a; influxdb官网&#xff1a;https://docs.influxdata.com/influxdb/v2.0…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023