SSL证书链及使用
什么是证书链
证书链简单来说是域名钥证书、CA公钥、根证书形成的一个颁发链条,属于公钥的一部分。
更白话一点,就是证书链文件包含一系列CA机构公钥的证书。
证书链格式
一般证书链格式是.chain
,证书定义顺序是倒序的,即先权威CA再根CA。
以根CA+一个权威CA举例:
-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----
证书链中也可包含主体与签发信息,仅用于便于确定证书所属不参与认证,举例:
subject=C = CN, O = XXXX, CN = XXXX RSACA
issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA
-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----
subject=C = CN, O = XXXX, CN = XXXX ROOT RSACA
issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA
-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----
合并域名证书与证书链
Nginx等web服务器需要将证书链与域名证书合并成PEM文件,作为公钥直接使用。
域名证书内容如下:
-----BEGIN CERTIFICATE-----
域名公钥
-----END CERTIFICATE-----
证书链如下:
-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----
其合并证书链方法,即以 域名证书、权威CA证书、根CA证书 顺序,将证书内容复制到同一文件中。
合并结果如下:
-----BEGIN CERTIFICATE-----
域名公钥
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----
合并出的证书直接作为公钥证书代替证书。
扩展阅读
P7B提取证书链与公钥证书
P7B格式是同时包含证书链和域名公钥证书的,可以通过openssl命令提取。
以下命令输出证书的顺序是不对的,需要按subject和issuer描述调整顺序,域名证书->权威CA->根CA
## p7b可指定PEM或DER格式,也可以经过base64加密
## 以下列出常见几条命令:
# PEM格式未base64
openssl pkcs7 -inform PEM -print_certs -in xxx.p7b -out public.pem
# DER格式未base64
openssl pkcs7 -inform DER -print_certs -in xxx.p7b -out public.pem
# PEM+base64
base64 -d xxx.p7b | openssl pkcs7 -inform PEM -print_certs -out public.pem
# DER+base64
base64 -d xxx.p7b | openssl pkcs7 -inform DER -print_certs -out public.pem
校验PEM证书与密钥是否配套
# 两者输出同样的md5值说明配套
openssl x509 -noout -modulus -in public.pem |openssl md5
openssl rsa -noout -modulus -in private.key |openssl md5