PKI证书系统-使用openssl生成自签名证书

博主： shpym
发布时间：2026 年 02 月 02 日
153 次浏览
暂无评论
9278字数
分类：默认分类 PKI证书系统

自签名流程

2026-02-01T17:05:13.png

到底什么是自签名？正常的情况我们的证书需要有CA机构去进行签名，但是因为我们处于一个测试的目的，我们需要去自己扮演这个CA机构，我们自己给自己去进行这样的一个证书的签名。

我们要去扮演一个CA的机构。对于这个CA机构来讲，他进行证书颁发的时候，就是用自己的私钥，去对这个用户发过来的这个证书的请求做一个签名。这是CA机构要做的事情。既然我们要自己去扮演这个CA机构的话，所以说我们自己要准备一对这个公钥私钥。

# 生成私钥
openssl genrsa -des3 -out ca.key 2048
# 生成根证书 CN=TRANSPORT,OU=OU,O=O,L=L,ST=ST,C=CN （有效期365天）
openssl req -x509 -key ca.key -out ca.crt -days 365
# 查看证书
openssl x509 -in ca.crt -text -noout

# 生成站点的私钥
openssl genrsa -out my-site.com.key 2048
# 生成csr文件
openssl req -new -key my-site.com.key -out my-site.com.csr
# 查看csr文件（公司基本信息+公钥+私钥的签名）
openssl req -text -noout -verify -in my-site.com.csr

# 使用CA证书，生成站点证书
openssl x509 -req -in my-site.com.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out my-site.com.crt -days 365

使用CA证书，生成站点证书

openssl x509 -req -in my-site.com.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out my-site.com.crt -days 365

参数含义

参数	含义	说明
x509	证书处理命令	OpenSSL的证书管理子命令
-req	处理证书请求	表示输入的是CSR文件，不是现有证书
-in my-site.com.csr	输入CSR文件	`待签发的证书签名请求文件`
-CA ca.crt	CA证书文件	用于签名的CA证书（公钥证书）
-CAkey ca.key	CA私钥文件	CA的私钥，用于签名证书
-set_serial 01	`设置序列号`	为新证书设置序列号01（每个证书必须唯一）
-out my-site.com.crt	输出证书文件	生成的签发证书保存位置
-days 365	证书有效期	证书有效期为365天（约1年）

证书签名请求文件

CSR 文件包含了申请数字证书时需要提供的所有关键信息，当CA收到CSR后，会验证并签发证书。包含以下内容

公钥信息

公钥算法: RSA、ECC等
公钥内容: 用于加密和验证签名的公钥

主题信息 (Subject `DN`)

CN=www.example.com              # 通用名称（域名）
OU=IT Department               # 组织单位
O=Example Company              # 组织名称  
L=Beijing                      # 城市
ST=Beijing                     # 州/省
C=CN                          # 国家代码

证书扩展信息

密钥用途: 数字签名、密钥加密、证书签名等
扩展密钥用途: 服务器认证、客户端认证等
主题备用名称 (SAN): 其他域名、IP地址等
CRL分发点: 证书吊销列表位置

签名信息

签名算法: SHA256、SHA384等
数字签名: 用私钥对以上信息进行签名，确保完整性

LDAP&DN

LDAP (轻量级目录访问协议)

是什么: 一种用于访问目录服务的标准协议
用途: 存储和查询用户信息、权限、设备等层次化数据
特点: 读多写少、层次结构、分布式、高性能查询

DN (Distinguished Name)

是什么: LDAP目录中唯一标识条目的字符串路径
格式: CN=名称,OU=部门,O=组织,DC=域,C=国家
作用: 像文件系统路径一样精确定位目录中的具体条目

举例说明

CN=TRANSPORT,OU=Services,O=MyCompany,L=Beijing,ST=Beijing,C=CN
表示：中国北京某公司的服务部门下的TRANSPORT服务

DN组成部分详解

这是一个层次结构的标识符，表示：

🇨🇳 国家: 中国 (CN)
🏛️ 州/省: ST
🏙️ 城市: L
🏢 组织: O
📁 部门: OU
🔖 实体名称: TRANSPORT

组件	缩写	含义
CN	Common Name	通用名称（通常是用户名或服务名）
OU	Organizational Unit	组织单位/部门
O	Organization	组织名称
L	Locality	地点/城市
ST	State/Province	州/省
C	Country	国家代码

证书序列号的作用详解

什么是证书序列号？

证书序列号（Serial Number）是CA（证书颁发机构）为每个签发的证书分配的一个唯一标识符。

序列号的核心作用

唯一标识证书

在同一个CA下，每个证书的序列号必须唯一
用于精确识别特定的证书
类似于身份证号或订单号

证书吊销管理

CRL (证书吊销列表) 使用序列号标识被吊销的证书
OCSP (在线证书状态协议) 通过序列号查询证书状态

证书链验证

帮助建立证书信任链
防止证书伪造和重放攻击

审计和追踪

CA可以追踪所有签发的证书
支持安全审计和合规要求

序列号的特性：

特性	说明
唯一性	同一CA下不能重复
格式	通常是16进制数字串
长度	1-20字节（推荐16字节以上）
生成方式	递增、随机或时间戳

数字证书字段详解

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = www.test.cn
        Validity
            Not Before: Feb  1 13:50:58 2026 GMT
            Not After : Feb  1 13:50:58 2027 GMT
        Subject: C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = test@test.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:a1:8e:67:eb:f5:fd:47:56:d7:1e:6a:f5:27:4f:
                    82:67:8e:c7:62:91:84:49:9b:8c:81:46:c6:7e:e6:
                    e3:db:07:b5:10:6b:35:3f:b8:a4:1a:df:d6:67:1c:
                    51:75:70:35:d3:47:57:b6:f2:7e:c1:d6:28:c3:79:
                    20:37:4e:c0:ac:23:e7:f7:3b:4d:69:be:fe:bb:fd:
                    08:b4:1c:a4:33:cc:eb:f3:1e:c4:1a:bb:7c:6d:e4:
                    70:5e:4e:f2:48:0c:d2:3a:ea:b0:d7:02:85:0d:86:
                    7c:aa:fa:47:35:d1:4b:05:d4:0b:75:9e:25:03:86:
                    47:76:84:b7:69:26:eb:96:82:94:41:8c:fb:ad:5f:
                    16:0d:ff:1a:e0:8e:6b:27:1e:eb:dd:50:1b:e6:4f:
                    1f:6b:7d:b8:e0:c2:7d:d5:b9:db:89:44:5e:4f:67:
                    d1:1c:21:c8:c5:ce:6a:fe:7b:e4:92:b5:65:de:54:
                    02:c2:a6:ae:e2:79:dd:19:0c:b4:c8:b1:de:99:be:
                    71:c2:b1:75:3d:a5:65:3f:1b:ca:d2:ce:7e:5d:c4:
                    93:79:e5:66:d8:ed:f8:fc:06:27:b8:7c:46:d1:7c:
                    73:1b:26:fb:88:21:84:38:58:91:01:f2:3c:82:2a:
                    f8:5e:f3:08:79:46:7e:c7:d8:34:cf:a3:af:40:97:
                    6f:39
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         94:c3:2a:bb:0c:77:0a:db:0b:bf:56:e8:3e:30:5b:c4:f5:05:
         9f:fa:44:93:0e:18:8a:4d:4c:2f:84:69:07:19:00:91:14:8e:
         60:db:75:ad:fa:db:47:88:51:59:58:7b:bc:53:9b:81:31:4e:
         82:18:67:b7:5c:7a:cb:5d:b1:a6:35:80:f3:ec:26:99:1c:09:
         c5:fb:0b:a5:d2:0b:7d:cb:ed:dc:03:c2:35:01:7d:e1:9d:1c:
         81:05:34:80:c6:14:d6:4b:63:4f:75:a0:d4:58:53:26:39:02:
         ae:fb:2e:f6:1f:9c:a2:42:4d:8c:b4:92:cb:c5:b7:01:c4:61:
         7f:08:13:9a:9a:ad:ad:d7:c8:f8:a6:f3:a6:be:8e:8f:a2:9a:
         ad:36:39:4c:cf:a9:af:47:04:12:2d:f8:82:f7:7d:d9:9c:6c:
         14:49:0b:d9:2e:3b:e9:cf:ad:79:02:4f:86:30:f4:13:bb:ee:
         04:b6:b9:0c:fe:4c:35:61:3e:0d:73:2a:b3:17:ff:9b:29:5d:
         96:1c:8a:d4:d4:18:66:a3:df:29:87:4d:13:9a:ef:fc:72:e2:
         8c:ac:68:f8:1d:37:3f:a1:59:bf:dc:8f:10:c4:1e:c4:e6:27:
         8d:18:51:fc:bf:6a:b3:53:9a:48:ee:e2:a4:e6:82:d4:f4:30:
         e5:24:46:79

Version: 1 (0x0)

含义: 证书版本号
解释: 值为1表示这是X.509 v3证书（目前最常用的版本）

Serial Number: 1 (0x1)

含义: 证书序列号
解释: 十六进制0x1，十进制1。CA为每个证书分配的唯一标识符，用于证书管理和吊销

Signature Algorithm: sha256WithRSAEncryption

含义: 签名算法
解释: 使用SHA256哈希算法结合RSA加密算法对证书进行数字签名

Issuer (颁发者)

C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = www.test.cn

含义: 证书颁发机构的身份信息
字段详解:
C=CN: 国家代码（中国）
ST=ST: 州/省
L=L: 城市/地点
O=O: 组织名称
OU=OU: 组织单位/部门
CN=TRANSPORT: 通用名称（CA的名称）
emailAddress=www.test.cn: 邮箱地址

Validity (有效期)

Not Before: Feb  1 13:50:58 2026 GMT    # 生效时间
Not After : Feb  1 13:50:58 2027 GMT     # 到期时间

含义: 证书的有效时间范围
解释: 从2026年2月1日到2027年2月1日（有效期为1年）

Subject (主题)

C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = test@test.com

含义: 证书持有者（证书使用者）的身份信息
解释: 与Issuer字段格式相同，但emailAddress不同，说明这是颁发给不同实体的证书

Subject Public Key Info (主题公钥信息)

Public Key Algorithm: rsaEncryption
公钥加密算法：RSA
RSA Public-Key: (2048 bit)
密钥长度：2048位RSA密钥
Modulus: [长十六进制数]
RSA模数：RSA公钥的核心数学参数
Exponent: 65537 (0x10001)
公钥指数：RSA算法的标准指数值（通常为65537）

Signature Algorithm: sha256WithRSAEncryption

含义: 签名算法（与证书头部的签名算法相同）

Signature: [长十六进制数]

含义: CA使用私钥对证书内容进行数字签名
作用: 用于验证证书的完整性和真实性，防止证书被篡改

证书验证流程

步骤1：基本字段验证

版本检查: 确认证书版本（通常X.509 v3）
序列号检查: 确保序列号有效且唯一
签名算法检查: 确认使用的签名算法（如SHA256withRSA）安全且受支持

步骤2：时间有效性验证

当前时间 vs 证书时间范围

Not Before: 当前时间必须 ≥ 证书生效时间
Not After: 当前时间必须 ≤ 证书到期时间
时区处理: 注意GMT时间和本地时间的差异

步骤3：身份信息验证

Subject字段匹配: 验证证书主题信息是否与预期匹配
域名验证:
- 检查CN字段是否匹配网站域名
- 检查SAN(Subject Alternative Names)扩展是否包含所有域名/IP
组织信息: 验证证书持有者的组织信息

步骤4：数字签名验证

(核心安全步骤)签名验证原理：

1. CA用私钥对证书内容进行签名
2. 验证者用CA公钥验证签名

提取CA公钥: 从CA证书中获取公钥
重新计算哈希: 对证书主体内容使用SHA256计算哈希值
RSA解密验证:
- 用CA公钥解密证书中的数字签名
- 比较解密结果与重新计算的哈希值
如果相同，签名有效

步骤5：证书链验证

信任链建立：

用户证书 → 中间CA证书 → 根CA证书

信任锚点: 从操作系统或浏览器内置的根CA开始
逐级验证: 验证每一级证书的签名和有效性
交叉认证: 处理多个CA之间的交叉签名关系

步骤6：证书吊销状态检查

CRL (证书吊销列表):
下载并检查CA发布的吊销证书列表
通过序列号查找证书是否被吊销
OCSP (在线证书状态协议):
实时查询CA的OCSP服务器
获取证书的最新状态（有效/吊销/未知）
缓存策略: 缓存CRL/OCSP响应以提升性能

步骤7：证书扩展和策略验证

密钥用途 (Key Usage): 数字签名、密钥加密、证书签名等
扩展密钥用途 (Extended Key Usage): 服务器认证、客户端认证、代码签名等
证书策略: 检查证书策略标识符和策略约束
路径长度: 验证证书链的最大长度限制

最后修改：2026 年 02 月 07 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

PKI证书系统-使用openssl生成自签名证书

shpym • 2026 年 02 月 02 日

<h2><a id="content-自签名流程" href="#content-自签名流程" class="heading-permalink" aria-hidden="true" title="Permalink"></a>自签名流程</h2>
<p><img src="https://blog.shpym.cn/usr/uploads/2026/02/3991826970.png" alt="2026-02-01T17:05:13.png" loading="lazy"  style=""></p>
<p>    到底什么是自签名？正常的情况我们的证书需要有CA机构去进行签名，但是因为我们处于一个测试的目的，我们需要去自己扮演这个CA机构，我们自己给自己去进行这样的一个证书的签名。</p>
<p>    我们要去扮演一个CA的机构。对于这个CA机构来讲，他进行证书颁发的时候，就是用自己的私钥，去对这个用户发过来的这个证书的请求做一个签名。这是CA机构要做的事情。既然我们要自己去扮演这个CA机构的话，所以说我们自己要准备一对这个公钥私钥。</p>
<pre><code># 生成私钥
openssl genrsa -des3 -out ca.key 2048
# 生成根证书 CN=TRANSPORT,OU=OU,O=O,L=L,ST=ST,C=CN （有效期365天）
openssl req -x509 -key ca.key -out ca.crt -days 365
# 查看证书
openssl x509 -in ca.crt -text -noout

# 生成站点的私钥
openssl genrsa -out my-site.com.key 2048
# 生成csr文件
openssl req -new -key my-site.com.key -out my-site.com.csr
# 查看csr文件（公司基本信息+公钥+私钥的签名）
openssl req -text -noout -verify -in my-site.com.csr

# 使用CA证书，生成站点证书
openssl x509 -req -in my-site.com.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out my-site.com.crt -days 365
</code></pre>
<h2><a id="content-使用ca证书生成站点证书" href="#content-使用ca证书生成站点证书" class="heading-permalink" aria-hidden="true" title="Permalink"></a>使用CA证书，生成站点证书</h2>
<pre><code>openssl x509 -req -in my-site.com.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out my-site.com.crt -days 365
</code></pre>
<h3><a id="content-参数含义" href="#content-参数含义" class="heading-permalink" aria-hidden="true" title="Permalink"></a>参数含义</h3>
<table>
<thead>
<tr>
<th align="left">参数</th>
<th align="left">含义</th>
<th align="left">说明</th>
</tr>
</thead>
<tbody>
<tr>
<td align="left">x509</td>
<td align="left">证书处理命令</td>
<td align="left">OpenSSL的证书管理子命令</td>
</tr>
<tr>
<td align="left">-req</td>
<td align="left">处理证书请求</td>
<td align="left">表示输入的是CSR文件，不是现有证书</td>
</tr>
<tr>
<td align="left">-in my-site.com.csr</td>
<td align="left">输入CSR文件</td>
<td align="left"><code>待签发的证书签名请求文件</code></td>
</tr>
<tr>
<td align="left">-CA ca.crt</td>
<td align="left">CA证书文件</td>
<td align="left">用于签名的CA证书（公钥证书）</td>
</tr>
<tr>
<td align="left">-CAkey ca.key</td>
<td align="left">CA私钥文件</td>
<td align="left">CA的私钥，用于签名证书</td>
</tr>
<tr>
<td align="left">-set_serial 01</td>
<td align="left"><code>设置序列号</code></td>
<td align="left">为新证书设置序列号01（每个证书必须唯一）</td>
</tr>
<tr>
<td align="left">-out my-site.com.crt</td>
<td align="left">输出证书文件</td>
<td align="left">生成的签发证书保存位置</td>
</tr>
<tr>
<td align="left">-days 365</td>
<td align="left">证书有效期</td>
<td align="left">证书有效期为365天（约1年）</td>
</tr>
</tbody>
</table>
<h2><a id="content-证书签名请求文件" href="#content-证书签名请求文件" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书签名请求文件</h2>
<p>CSR 文件包含了申请数字证书时需要提供的所有关键信息，当CA收到CSR后，会验证并签发证书。包含以下内容</p>
<h3><a id="content-公钥信息" href="#content-公钥信息" class="heading-permalink" aria-hidden="true" title="Permalink"></a>公钥信息</h3>
<ul>
<li>
<p>公钥算法: RSA、ECC等</p>
</li>
<li>
<p>公钥内容: 用于加密和验证签名的公钥</p>
</li>
</ul>
<h3><a id="content-主题信息-subject-dn" href="#content-主题信息-subject-dn" class="heading-permalink" aria-hidden="true" title="Permalink"></a>主题信息 (Subject <code>DN</code>)</h3>
<pre><code>CN=www.example.com              # 通用名称（域名）
OU=IT Department               # 组织单位
O=Example Company              # 组织名称  
L=Beijing                      # 城市
ST=Beijing                     # 州/省
C=CN                          # 国家代码
</code></pre>
<h3><a id="content-证书扩展信息" href="#content-证书扩展信息" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书扩展信息</h3>
<ul>
<li>
<p>密钥用途: 数字签名、密钥加密、证书签名等</p>
</li>
<li>
<p>扩展密钥用途: 服务器认证、客户端认证等</p>
</li>
<li>
<p>主题备用名称 (SAN): 其他域名、IP地址等</p>
</li>
<li>
<p>CRL分发点: 证书吊销列表位置</p>
</li>
</ul>
<h3><a id="content-签名信息" href="#content-签名信息" class="heading-permalink" aria-hidden="true" title="Permalink"></a>签名信息</h3>
<ul>
<li>
<p>签名算法: SHA256、SHA384等</p>
</li>
<li>
<p>数字签名: 用私钥对以上信息进行签名，确保完整性</p>
</li>
</ul>
<h2><a id="content-ldapdn" href="#content-ldapdn" class="heading-permalink" aria-hidden="true" title="Permalink"></a>LDAP&amp;DN</h2>
<h3><a id="content-ldap-轻量级目录访问协议" href="#content-ldap-轻量级目录访问协议" class="heading-permalink" aria-hidden="true" title="Permalink"></a>LDAP (轻量级目录访问协议)</h3>
<ul>
<li>
<p>是什么: 一种用于访问目录服务的标准协议</p>
</li>
<li>
<p>用途: 存储和查询用户信息、权限、设备等层次化数据</p>
</li>
<li>
<p>特点: 读多写少、层次结构、分布式、高性能查询</p>
</li>
</ul>
<h3><a id="content-dn-distinguished-name" href="#content-dn-distinguished-name" class="heading-permalink" aria-hidden="true" title="Permalink"></a>DN (Distinguished Name)</h3>
<ul>
<li>
<p>是什么: LDAP目录中唯一标识条目的字符串路径</p>
</li>
<li>
<p>格式: CN=名称,OU=部门,O=组织,DC=域,C=国家</p>
</li>
<li>
<p>作用: 像文件系统路径一样精确定位目录中的具体条目</p>
</li>
</ul>
<h4><a id="content-举例说明" href="#content-举例说明" class="heading-permalink" aria-hidden="true" title="Permalink"></a>举例说明</h4>
<pre><code>CN=TRANSPORT,OU=Services,O=MyCompany,L=Beijing,ST=Beijing,C=CN
表示：中国北京某公司的服务部门下的TRANSPORT服务
</code></pre>
<h4><a id="content-dn组成部分详解" href="#content-dn组成部分详解" class="heading-permalink" aria-hidden="true" title="Permalink"></a>DN组成部分详解</h4>
<p>这是一个层次结构的标识符，表示：</p>
<ul>
<li>
<p>🇨🇳 国家: 中国 (CN)</p>
</li>
<li>
<p>🏛️ 州/省: ST</p>
</li>
<li>
<p>🏙️ 城市: L</p>
</li>
<li>
<p>🏢 组织: O</p>
</li>
<li>
<p>📁 部门: OU</p>
</li>
<li>
<p>🔖 实体名称: TRANSPORT</p>
</li>
</ul>
<table>
<thead>
<tr>
<th align="left">组件</th>
<th align="left">缩写</th>
<th align="left">含义</th>
</tr>
</thead>
<tbody>
<tr>
<td align="left">CN</td>
<td align="left">Common Name</td>
<td align="left">通用名称（通常是用户名或服务名）</td>
</tr>
<tr>
<td align="left">OU</td>
<td align="left">Organizational Unit</td>
<td align="left">组织单位/部门</td>
</tr>
<tr>
<td align="left">O</td>
<td align="left">Organization</td>
<td align="left">组织名称</td>
</tr>
<tr>
<td align="left">L</td>
<td align="left">Locality</td>
<td align="left">地点/城市</td>
</tr>
<tr>
<td align="left">ST</td>
<td align="left">State/Province</td>
<td align="left">州/省</td>
</tr>
<tr>
<td align="left">C</td>
<td align="left">Country</td>
<td align="left">国家代码</td>
</tr>
</tbody>
</table>
<h2><a id="content-证书序列号的作用详解" href="#content-证书序列号的作用详解" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书序列号的作用详解</h2>
<h3><a id="content-什么是证书序列号" href="#content-什么是证书序列号" class="heading-permalink" aria-hidden="true" title="Permalink"></a>什么是证书序列号？</h3>
<p>证书序列号（Serial Number）是CA（证书颁发机构）为每个签发的证书分配的一个唯一标识符。</p>
<h3><a id="content-序列号的核心作用" href="#content-序列号的核心作用" class="heading-permalink" aria-hidden="true" title="Permalink"></a>序列号的核心作用</h3>
<h4><a id="content-唯一标识证书" href="#content-唯一标识证书" class="heading-permalink" aria-hidden="true" title="Permalink"></a>唯一标识证书</h4>
<ul>
<li>
<p>在同一个CA下，每个证书的序列号必须唯一</p>
</li>
<li>
<p>用于精确识别特定的证书</p>
</li>
<li>
<p>类似于身份证号或订单号</p>
</li>
</ul>
<h4><a id="content-证书吊销管理" href="#content-证书吊销管理" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书吊销管理</h4>
<ul>
<li>
<p>CRL (证书吊销列表) 使用序列号标识被吊销的证书</p>
</li>
<li>
<p>OCSP (在线证书状态协议) 通过序列号查询证书状态</p>
</li>
</ul>
<h4><a id="content-证书链验证" href="#content-证书链验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书链验证</h4>
<ul>
<li>
<p>帮助建立证书信任链</p>
</li>
<li>
<p>防止证书伪造和重放攻击</p>
</li>
</ul>
<h4><a id="content-审计和追踪" href="#content-审计和追踪" class="heading-permalink" aria-hidden="true" title="Permalink"></a>审计和追踪</h4>
<ul>
<li>
<p>CA可以追踪所有签发的证书</p>
</li>
<li>
<p>支持安全审计和合规要求</p>
</li>
</ul>
<h4><a id="content-序列号的特性" href="#content-序列号的特性" class="heading-permalink" aria-hidden="true" title="Permalink"></a>序列号的特性：</h4>
<table>
<thead>
<tr>
<th align="left">特性</th>
<th align="left">说明</th>
</tr>
</thead>
<tbody>
<tr>
<td align="left">唯一性</td>
<td align="left">同一CA下不能重复</td>
</tr>
<tr>
<td align="left">格式</td>
<td align="left">通常是16进制数字串</td>
</tr>
<tr>
<td align="left">长度</td>
<td align="left">1-20字节（推荐16字节以上）</td>
</tr>
<tr>
<td align="left">生成方式</td>
<td align="left">递增、随机或时间戳</td>
</tr>
</tbody>
</table>
<h2><a id="content-数字证书字段详解" href="#content-数字证书字段详解" class="heading-permalink" aria-hidden="true" title="Permalink"></a>数字证书字段详解</h2>
<pre><code>Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = www.test.cn
        Validity
            Not Before: Feb  1 13:50:58 2026 GMT
            Not After : Feb  1 13:50:58 2027 GMT
        Subject: C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = test@test.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:a1:8e:67:eb:f5:fd:47:56:d7:1e:6a:f5:27:4f:
                    82:67:8e:c7:62:91:84:49:9b:8c:81:46:c6:7e:e6:
                    e3:db:07:b5:10:6b:35:3f:b8:a4:1a:df:d6:67:1c:
                    51:75:70:35:d3:47:57:b6:f2:7e:c1:d6:28:c3:79:
                    20:37:4e:c0:ac:23:e7:f7:3b:4d:69:be:fe:bb:fd:
                    08:b4:1c:a4:33:cc:eb:f3:1e:c4:1a:bb:7c:6d:e4:
                    70:5e:4e:f2:48:0c:d2:3a:ea:b0:d7:02:85:0d:86:
                    7c:aa:fa:47:35:d1:4b:05:d4:0b:75:9e:25:03:86:
                    47:76:84:b7:69:26:eb:96:82:94:41:8c:fb:ad:5f:
                    16:0d:ff:1a:e0:8e:6b:27:1e:eb:dd:50:1b:e6:4f:
                    1f:6b:7d:b8:e0:c2:7d:d5:b9:db:89:44:5e:4f:67:
                    d1:1c:21:c8:c5:ce:6a:fe:7b:e4:92:b5:65:de:54:
                    02:c2:a6:ae:e2:79:dd:19:0c:b4:c8:b1:de:99:be:
                    71:c2:b1:75:3d:a5:65:3f:1b:ca:d2:ce:7e:5d:c4:
                    93:79:e5:66:d8:ed:f8:fc:06:27:b8:7c:46:d1:7c:
                    73:1b:26:fb:88:21:84:38:58:91:01:f2:3c:82:2a:
                    f8:5e:f3:08:79:46:7e:c7:d8:34:cf:a3:af:40:97:
                    6f:39
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         94:c3:2a:bb:0c:77:0a:db:0b:bf:56:e8:3e:30:5b:c4:f5:05:
         9f:fa:44:93:0e:18:8a:4d:4c:2f:84:69:07:19:00:91:14:8e:
         60:db:75:ad:fa:db:47:88:51:59:58:7b:bc:53:9b:81:31:4e:
         82:18:67:b7:5c:7a:cb:5d:b1:a6:35:80:f3:ec:26:99:1c:09:
         c5:fb:0b:a5:d2:0b:7d:cb:ed:dc:03:c2:35:01:7d:e1:9d:1c:
         81:05:34:80:c6:14:d6:4b:63:4f:75:a0:d4:58:53:26:39:02:
         ae:fb:2e:f6:1f:9c:a2:42:4d:8c:b4:92:cb:c5:b7:01:c4:61:
         7f:08:13:9a:9a:ad:ad:d7:c8:f8:a6:f3:a6:be:8e:8f:a2:9a:
         ad:36:39:4c:cf:a9:af:47:04:12:2d:f8:82:f7:7d:d9:9c:6c:
         14:49:0b:d9:2e:3b:e9:cf:ad:79:02:4f:86:30:f4:13:bb:ee:
         04:b6:b9:0c:fe:4c:35:61:3e:0d:73:2a:b3:17:ff:9b:29:5d:
         96:1c:8a:d4:d4:18:66:a3:df:29:87:4d:13:9a:ef:fc:72:e2:
         8c:ac:68:f8:1d:37:3f:a1:59:bf:dc:8f:10:c4:1e:c4:e6:27:
         8d:18:51:fc:bf:6a:b3:53:9a:48:ee:e2:a4:e6:82:d4:f4:30:
         e5:24:46:79
</code></pre>
<h3><a id="content-version-1-0x0" href="#content-version-1-0x0" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Version: 1 (0x0)</h3>
<ul>
<li>
<p>含义: 证书版本号</p>
</li>
<li>
<p>解释: 值为1表示这是X.509 v3证书（目前最常用的版本）</p>
</li>
</ul>
<h3><a id="content-serial-number-1-0x1" href="#content-serial-number-1-0x1" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Serial Number: 1 (0x1)</h3>
<ul>
<li>
<p>含义: 证书序列号</p>
</li>
<li>
<p>解释: 十六进制0x1，十进制1。CA为每个证书分配的唯一标识符，用于证书管理和吊销</p>
</li>
</ul>
<h3><a id="content-signature-algorithm-sha256withrsaencryption" href="#content-signature-algorithm-sha256withrsaencryption" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Signature Algorithm: sha256WithRSAEncryption</h3>
<ul>
<li>
<p>含义: 签名算法</p>
</li>
<li>
<p>解释: 使用SHA256哈希算法结合RSA加密算法对证书进行数字签名</p>
</li>
</ul>
<h3><a id="content-issuer-颁发者" href="#content-issuer-颁发者" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Issuer (颁发者)</h3>
<pre><code>C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = www.test.cn
</code></pre>
<ul>
<li>
<p>含义: 证书颁发机构的身份信息</p>
</li>
<li>
<p>字段详解:</p>
</li>
<li>
<p>C=CN: 国家代码（中国）</p>
</li>
<li>
<p>ST=ST: 州/省</p>
</li>
<li>
<p>L=L: 城市/地点</p>
</li>
<li>
<p>O=O: 组织名称</p>
</li>
<li>
<p>OU=OU: 组织单位/部门</p>
</li>
<li>
<p>CN=TRANSPORT: 通用名称（CA的名称）</p>
</li>
<li>
<p>emailAddress=www.test.cn: 邮箱地址</p>
</li>
</ul>
<h3><a id="content-validity-有效期" href="#content-validity-有效期" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Validity (有效期)</h3>
<pre><code>Not Before: Feb  1 13:50:58 2026 GMT    # 生效时间
Not After : Feb  1 13:50:58 2027 GMT     # 到期时间
</code></pre>
<ul>
<li>
<p>含义: 证书的有效时间范围</p>
</li>
<li>
<p>解释: 从2026年2月1日到2027年2月1日（有效期为1年）</p>
</li>
</ul>
<h3><a id="content-subject-主题" href="#content-subject-主题" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Subject (主题)</h3>
<pre><code>C = CN, ST = ST, L = L, O = O, OU = OU, CN = TRANSPORT, emailAddress = test@test.com
</code></pre>
<ul>
<li>
<p>含义: 证书持有者（证书使用者）的身份信息</p>
</li>
<li>
<p>解释: 与Issuer字段格式相同，但emailAddress不同，说明这是颁发给不同实体的证书</p>
</li>
</ul>
<h3><a id="content-subject-public-key-info-主题公钥信息" href="#content-subject-public-key-info-主题公钥信息" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Subject Public Key Info (主题公钥信息)</h3>
<ul>
<li>
<p>Public Key Algorithm: rsaEncryption</p>
</li>
<li>
<p>公钥加密算法：RSA</p>
</li>
<li>
<p>RSA Public-Key: (2048 bit)</p>
</li>
<li>
<p>密钥长度：2048位RSA密钥</p>
</li>
<li>
<p>Modulus: [长十六进制数]</p>
</li>
<li>
<p>RSA模数：RSA公钥的核心数学参数</p>
</li>
<li>
<p>Exponent: 65537 (0x10001)</p>
</li>
<li>
<p>公钥指数：RSA算法的标准指数值（通常为65537）</p>
</li>
</ul>
<h3><a id="content-signature-algorithm-sha256withrsaencryption-1" href="#content-signature-algorithm-sha256withrsaencryption-1" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Signature Algorithm: sha256WithRSAEncryption</h3>
<ul>
<li>含义: 签名算法（与证书头部的签名算法相同）</li>
</ul>
<h3><a id="content-signature-长十六进制数" href="#content-signature-长十六进制数" class="heading-permalink" aria-hidden="true" title="Permalink"></a>Signature: [长十六进制数]</h3>
<ul>
<li>
<p>含义: CA使用私钥对证书内容进行数字签名</p>
</li>
<li>
<p>作用: 用于验证证书的完整性和真实性，防止证书被篡改</p>
</li>
</ul>
<h2><a id="content-证书验证流程" href="#content-证书验证流程" class="heading-permalink" aria-hidden="true" title="Permalink"></a>证书验证流程</h2>
<h3><a id="content-步骤1基本字段验证" href="#content-步骤1基本字段验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤1：基本字段验证</h3>
<ul>
<li>
<p>版本检查: 确认证书版本（通常X.509 v3）</p>
</li>
<li>
<p>序列号检查: 确保序列号有效且唯一</p>
</li>
<li>
<p>签名算法检查: 确认使用的签名算法（如SHA256withRSA）安全且受支持</p>
</li>
</ul>
<h3><a id="content-步骤2时间有效性验证" href="#content-步骤2时间有效性验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤2：时间有效性验证</h3>
<p>当前时间 vs 证书时间范围</p>
<ul>
<li>
<p>Not Before: 当前时间必须 ≥ 证书生效时间</p>
</li>
<li>
<p>Not After: 当前时间必须 ≤ 证书到期时间</p>
</li>
<li>
<p>时区处理: 注意GMT时间和本地时间的差异</p>
</li>
</ul>
<h3><a id="content-步骤3身份信息验证" href="#content-步骤3身份信息验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤3：身份信息验证</h3>
<ul>
<li>
<p>Subject字段匹配: 验证证书主题信息是否与预期匹配</p>
</li>
<li>
<p>域名验证:</p>
<ul>
<li>
<p>检查CN字段是否匹配网站域名</p>
</li>
<li>
<p>检查SAN(Subject Alternative Names)扩展是否包含所有域名/IP</p>
</li>
</ul>
</li>
<li>
<p>组织信息: 验证证书持有者的组织信息</p>
</li>
</ul>
<h3><a id="content-步骤4数字签名验证" href="#content-步骤4数字签名验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤4：数字签名验证</h3>
<h4><a id="content-核心安全步骤签名验证原理" href="#content-核心安全步骤签名验证原理" class="heading-permalink" aria-hidden="true" title="Permalink"></a>(核心安全步骤)签名验证原理：</h4>
<pre><code>1. CA用私钥对证书内容进行签名
2. 验证者用CA公钥验证签名
</code></pre>
<ul>
<li>
<p>提取CA公钥: 从CA证书中获取公钥</p>
</li>
<li>
<p>重新计算哈希: 对证书主体内容使用SHA256计算哈希值</p>
</li>
<li>
<p>RSA解密验证:</p>
<ul>
<li>
<p>用CA公钥解密证书中的数字签名</p>
</li>
<li>
<p>比较解密结果与重新计算的哈希值</p>
</li>
</ul>
</li>
<li>
<p>如果相同，签名有效</p>
</li>
</ul>
<h3><a id="content-步骤5证书链验证" href="#content-步骤5证书链验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤5：证书链验证</h3>
<h4><a id="content-信任链建立" href="#content-信任链建立" class="heading-permalink" aria-hidden="true" title="Permalink"></a>信任链建立：</h4>
<pre><code>用户证书 → 中间CA证书 → 根CA证书
</code></pre>
<ul>
<li>
<p>信任锚点: 从操作系统或浏览器内置的根CA开始</p>
</li>
<li>
<p>逐级验证: 验证每一级证书的签名和有效性</p>
</li>
<li>
<p>交叉认证: 处理多个CA之间的交叉签名关系</p>
</li>
</ul>
<h3><a id="content-步骤6证书吊销状态检查" href="#content-步骤6证书吊销状态检查" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤6：证书吊销状态检查</h3>
<ul>
<li>
<p>CRL (证书吊销列表):</p>
</li>
<li>
<p>下载并检查CA发布的吊销证书列表</p>
</li>
<li>
<p>通过序列号查找证书是否被吊销</p>
</li>
<li>
<p>OCSP (在线证书状态协议):</p>
</li>
<li>
<p>实时查询CA的OCSP服务器</p>
</li>
<li>
<p>获取证书的最新状态（有效/吊销/未知）</p>
</li>
<li>
<p>缓存策略: 缓存CRL/OCSP响应以提升性能</p>
</li>
</ul>
<h3><a id="content-步骤7证书扩展和策略验证" href="#content-步骤7证书扩展和策略验证" class="heading-permalink" aria-hidden="true" title="Permalink"></a>步骤7：证书扩展和策略验证</h3>
<ul>
<li>
<p>密钥用途 (Key Usage): 数字签名、密钥加密、证书签名等</p>
</li>
<li>
<p>扩展密钥用途 (Extended Key Usage): 服务器认证、客户端认证、代码签名等</p>
</li>
<li>
<p>证书策略: 检查证书策略标识符和策略约束</p>
</li>
<li>
<p>路径长度: 验证证书链的最大长度限制</p>
</li>
</ul>

自签名流程

使用CA证书，生成站点证书

参数含义

证书签名请求文件

公钥信息

主题信息 (Subject DN)

证书扩展信息

签名信息

LDAP&DN

LDAP (轻量级目录访问协议)

DN (Distinguished Name)

举例说明

DN组成部分详解

证书序列号的作用详解

什么是证书序列号？

序列号的核心作用

唯一标识证书

证书吊销管理

证书链验证

审计和追踪

序列号的特性：

数字证书字段详解

Version: 1 (0x0)

Serial Number: 1 (0x1)

Signature Algorithm: sha256WithRSAEncryption

Issuer (颁发者)

Validity (有效期)

Subject (主题)

Subject Public Key Info (主题公钥信息)

Signature Algorithm: sha256WithRSAEncryption

Signature: [长十六进制数]

证书验证流程

步骤1：基本字段验证

步骤2：时间有效性验证

步骤3：身份信息验证

步骤4：数字签名验证

(核心安全步骤)签名验证原理：

步骤5：证书链验证

信任链建立：

步骤6：证书吊销状态检查

步骤7：证书扩展和策略验证

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

PKI证书系统-使用openssl生成自签名证书

主题信息 (Subject `DN`)

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款