common-name需要配置为域名或者IP地址。 配置为PKI实体离线申请本地证书。 [Router] pki realm abc [Router-pki-realm-abc] entity user01 [Router-pki-realm-abc] rsa local-key-pair rsakey [Router-pki-realm-abc] quit [Router] pki enroll-certificate realm abc pkcs10 filename cer_req Info: Creating...
配置certificate-checkcrl ocsp命令,先使用CRL方式,如果CRL方式不可用,使用OCSP方式,如果两种方式都不可用,则认为证书无效。 配置certificate-checkocsp crl命令,先使用OCSP方式,如果OCSP方式不可用,使用CRL方式,如果两种方式都不可用,则认为证书无效。 配置certificate-checkcrl ocsp none命令,先使用CRL方式,如果CRL方式不...
X.509标准是ITU-T为PKI所设计的一套标准。X.509标准定义了公钥证书(public key certificate), 证书撤消列表(certificate revocation list), 属性证书(attributes certificat), 和证书路径验证算法的标准。 通常,X.509证书包含以下信息: Certificate Version(版本号) Serial Number(序列号) Algorithm ID(算法ID) Issuer...
CA(certificate authority,证书权威)是给 subscriber 颁发证书的 entity,是一种 certificate issuer(证书颁发者)。 CA 的证书,通常称为 root certificate 或 intermediate certificate,具体取决于 CA 类型。 Relying party 是 使用证书的用户(certificate user),它验证由 CA 颁发(给 subscriber)的证书是否合法。 一个en...
以上提到的东西,再加上 CA、信任仓库、信任链、certificate path validation、CSR、证书生命周期管理、 SPIFFE 等还没有提到但也与加密相关的东西,统称为公钥基础设施(PKI)。 翻译时调整了一些配图,也加了几张新图,以方便展示和理解。 由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。
ssl_certificate /cert/server.crt;: 指定服务器证书的路径。server.crt是服务器的公钥证书,用于向客户端证明服务器的身份。这个证书将由服务器发送给客户端,以供客户端验证服务器的身份。 ssl_certificate_key /cert/server.key;: 指定服务器私钥的路径。server.key是服务器的私钥,用于解密客户端发送的加密数据。
证书是一个数据结构,其中包含一个 public key 和一个 name; 权威机构对证书进行签名,签名的大概意思是:public key xxx 关联到了 name xx; 对证书进行签名的 entity 称为issuer(或 certificate authority, CA),证书中的 entity 称为subject。 举个例子,如果某个 Issuer 为 Bob 签发了一张证书,其中的内容就可以...
给订阅者发放证书的实体被称为证书颁发机构(certificate authority),简称CA,也被称为证书颁发者(issuer)。属于订阅者的证书有时也被称为终端实体证书或者叶子证书(leaf certificates)— 在我们讨论证书链的时候,这个称呼更加直观。属于CA的证书通常被称为根证书(root certificates)或者中间证书(intermediate certificates),...
Each time a new node joins the swarm, the manager issues a certificate to the node. The certificate contains a randomly generated node ID to identify the node under the certificate common name (CN) and the role under the organizational unit (OU). The node ID serves as the cryptographically...
证书废除列表CRL(Certificate revocation lists)为应用程序和其它系统提供了一种检验证书有效性的方式。任何一个证书废除以后,证书机构CA会通过发布CRL的方式来通知各个相关方 1. CRL的版本号 1) 0: 表示X.509 V1 标准 2) 1: 表示X.509 V2 标准