Как использовать закрытый и открытый ключи?
Я новичок в ssl-сертификатах, я хотел узнать о ssl-сертификатах, и я сам сгенерировал закрытые и открытые ключи во время входа в cpanel, мне интересно, как их использовать и создать защищенное соединение с моим сайтом, у меня есть мои открытые ключи и закрытые ключи, но как их использовать? Может ли кто-нибудь порекомендовать хорошую страницу или кто-нибудь может научить меня этому? заранее благодарю
2 answers
Вы можете найти Первые несколько миллисекунд HTTPS-соединения Джеффа Мозера полезным чтением. В нем содержится подробное объяснение того, что происходит по проводу, когда браузер устанавливает HTTPS-соединение с сервером.
Это интересное видео иллюстрирует криптографию с открытым ключом путем смешивания цветов краски!
Вам также следует взглянуть на инструмент командной строки OpenSSL. Вы можете использовать его для: создания пар ключей, создания сертификатов, настройки мини- Центр СЕРТИФИКАЦИИ, запустите сервер, который использует один из созданных вами сертификатов, подключитесь к любому серверу SSL и получите подробную информацию о его конфигурации SSL и используемых сертификатах. Смотрите Руководство по командной строке OpenSSL для множества примеров того, что вы можете сделать с OpenSSL.
Также вы можете использовать онлайн-инструменты, подобные этим, для получения подробной информации о сертификате веб-сайта, выходящего в Интернет, и его конфигурации SSL:
Проверка SSL - Проверка сертификатов SSL и подробная информация о сертификате
Конфигурация SSL веб-сайта - глубоко изучает настройку SSL веб-сайта
Что касается настройки SSL в вашей среде, это будет зависеть от того, какой веб-сервер вы используете и/или ваш хостинг-провайдер. Например, вы можете попробовать поискать в Google "настройка SSL на" + имя вашего веб-сервера или хоста - например, "Настройка SSL на Apache". Кроме того, большинство центров сертификации (например, Verisign) обычно предоставляют хорошие информация о настройке различных веб-серверов и приложений для использования SSL.
Сертификаты, используемые для HTTPS, являются сертификатами X.509 (они единственные, упомянутые в спецификации HTTP через TLS, т.Е. HTTPS).
Сертификат (сервера) - это часть информации, используемая для подтверждения личности сервера клиенту. Это комбинация между открытым ключом и различными частями информации (в основном, касающимися личности владельца пары ключей, того, кто управляет закрытым ключом), эта комбинация подписывается с использованием закрытого ключа эмитент сертификата.
Доверие сертификату означает, что вы доверяете его содержимому, в частности, что вы доверяете тому, что открытый ключ принадлежит удостоверению, представленному в сертификате. С точки зрения сервера идентификатором будет имя сервера (см. Раздел 3.1 RFC 2818 или RFC 6125). Сертификаты в принципе являются общедоступной информацией.
Где используется закрытый ключ сервера (не обязательно закрытый ключ эмитента), используется для аутентифицированного SSL/TLS обмен ключами должен состояться. Во время этого обмена ключами, в зависимости от того, используете ли вы RSA или обмен ключами Диффи-Хелмана (в зависимости от набора шифров, DH в настоящее время довольно распространен), закрытый ключ будет использоваться либо для расшифровки части информации, которую клиент зашифровал с помощью открытого ключа сертификата (RSA), либо для подписи части информации, сгенерированной сервером (DH). В любом случае, это то, что доказывает клиенту, что у удаленной стороны есть закрытый ключ для этого сертификат. В конце механизмов обмена ключами и клиент, и сервер используют общий ключ. ( Этот вопрос может представлять интерес в отношении обмена ключами, хотя, вероятно, лучше прочитать саму спецификацию TLS, возможно, несколько раз...)
Как только у вас есть и то, и другое, т. Е. доверие к привязке между открытым ключом и удостоверением личности (путем проверки сертификата) и знание того, что удаленная сторона имеет закрытый ключ для открытого ключа в этом сертификате, вы знайте, что удаленная сторона действительно является сервером, личность которого описана в сертификате (в Альтернативном имени Субъекта или, если оно отсутствует, в Общем имени DN Субъекта).
Вас также может заинтересовать этот ответ на вопрос "Что делает SSL безопасным?".
Если вы хотите попробовать это самостоятельно для веб-сайта, вам понадобится нечто большее, чем открытый ключ, вам нужно будет создать сертификат, возможно, самозаверяющий сертификат или через свой собственный центр сертификации. Убедитесь, что имя хоста, которое вы используете, находится по адресу по крайней мере, в общем имени вашего DN субъекта или, лучше, в записи DNS с альтернативным именем субъекта. Например, существует ряд учебных пособий по созданию самозаверяющих сертификатов с помощью OpenSSL. OpenSSL CA.pl (см. справочную страницу) также может быть полезен, если вы хотите создать свой мини-центр сертификации.