SSL证书链及使用

什么是证书链

证书链简单来说是域名钥证书、CA公钥、根证书形成的一个颁发链条,属于公钥的一部分。

更白话一点,就是证书链文件包含一系列CA机构公钥的证书。

证书链格式

一般证书链格式是.chain,证书定义顺序是倒序的,即先权威CA再根CA。

以根CA+一个权威CA举例:

-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----

证书链中也可包含主体与签发信息,仅用于便于确定证书所属不参与认证,举例:

subject=C = CN, O = XXXX, CN = XXXX RSACA
issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA
-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----

subject=C = CN, O = XXXX, CN = XXXX ROOT RSACA
issuer=C = CN, O = XXXX, CN = XXXX ROOT RSACA
-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----

合并域名证书与证书链

Nginx等web服务器需要将证书链与域名证书合并成PEM文件,作为公钥直接使用。

域名证书内容如下:

-----BEGIN CERTIFICATE-----
域名公钥
-----END CERTIFICATE-----

证书链如下:

-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----

其合并证书链方法,即以 域名证书、权威CA证书、根CA证书 顺序,将证书内容复制到同一文件中。

合并结果如下:

-----BEGIN CERTIFICATE-----
域名公钥
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
权威CA公钥
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
根CA公钥
-----END CERTIFICATE-----

合并出的证书直接作为公钥证书代替证书。

扩展阅读

P7B提取证书链与公钥证书

P7B格式是同时包含证书链和域名公钥证书的,可以通过openssl命令提取。

以下命令输出证书的顺序是不对的,需要按subject和issuer描述调整顺序,域名证书->权威CA->根CA

bash 复制代码
## p7b可指定PEM或DER格式,也可以经过base64加密
## 以下列出常见几条命令:
# PEM格式未base64
openssl pkcs7 -inform PEM -print_certs -in xxx.p7b -out public.pem
# DER格式未base64
openssl pkcs7 -inform DER -print_certs -in xxx.p7b -out public.pem
# PEM+base64
base64 -d xxx.p7b | openssl pkcs7 -inform PEM -print_certs -out public.pem
# DER+base64
base64 -d xxx.p7b | openssl pkcs7 -inform DER -print_certs -out public.pem

校验PEM证书与密钥是否配套

bash 复制代码
# 两者输出同样的md5值说明配套
openssl x509 -noout -modulus -in public.pem |openssl md5
openssl rsa -noout -modulus -in private.key |openssl md5