原来做的一个金融软件项目, 部署到生产环境后,客户要求使用SSL协议保证数据安全性(后来分析实际用处不大),在此整理了一些SSL基本概念和不同服务器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成证书
JKS(Java KeyStore):java的密钥存储文件,二进制格式, 其中可包含公钥,私钥以及X509证书,
是一种 Java 特定的密钥文件格式。
DER(Distinguished Encoding Rules):文本格式,也可包含公钥,私钥以及X509证书.是大多时的默认格式
CER:DER编码的二进制格式
CRT:文本格式,X509标准后缀名
PFX文件,二进制.公钥加密技术12号标准
PKI(Public Key Infrastructure):公钥基础设施
SSL:使用公开密钥体制和X509数字认证技术,是Netscape提出的最初基于Web的协议
包含服务器认证,客户认证(可选),SSL链路完整及保密性
缺点:不对应用层消息进行数字签名
RSA公钥加密:非对称密码加密和解密
证书:是一个把公钥和姓名(域名)绑定的协议.通俗的讲,是附上申请组织的资料,再加上数字签名后的公钥,
一般包括:组织名;IP;公钥;到期日;CA组织名;序号;根CA签名(如veriSign)
SSL握手:
IE访问https站点>>确认WebServer是否有与SSL证书关联的密钥>>成功>>通信
认证中心(CA Certificate Authority) 发放证书的可信任的第三方,用来签发证书的机构.每个认证中心都会有一个最高的认证中心(CA root)的签名
SSL采用X509由上而下的金字塔式证书制度:
CA.root
CA认证中心…CA认证中心…
用户证书…用户证书…用户证书…用户证书…
由 WebSphere Webserver 插件和 IHS(IBM HTTP Server)使用的 IBM 的 SSL 的 C/C++ 实现。
PKCS 表示“公钥密码术标准”。PKCS12 是标准密钥文件格式
天威诚信(根ca是veriSign)
SSL 40位:5000元/年
SSL128位:8000元/年