讨论1-linscora-ChinaUnix博客

linscoralinscora.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

linscora

博客访问： 547147
博文数量： 201
博客积分： 7734
博客等级：少将
技术积分： 1994
用户组：普通用户
注册时间： 2010-04-09 19:18

文章分类

全部博文（201）

vostro3300_fedor（4）
虚拟化（2）
编程语言（24）

Perl（24）
大杂烩（29）

收集（0）

教训（1）

经验（0）

规范（3）

生活常识（9）

看贴记录（1）

讨论（1）

备忘（6）

感悟（3）

随笔心情（5）
数据库（9）

openldap（1）

Oracle（1）

PostgreSQL（3）

MySQL（4）
UNIX（6）

AIX（4）
系统性能监控/分（3）
Shell（16）

Bash（8）
集群/存储/负载均（6）
Network（1）
Linux（24）

LFS（2）

gentoo（0）

GRUB（1）

Sendmail（1）

DNS（2）

Squid（2）

Postfix（7）

mail（3）

Nginx（1）
转载（7）

链接（1）
RHEL（68）

RHCA笔记（2）

RHCE笔记（60）
未分配的博文（2）

文章存档

2011年（28）

2010年（173）

我的朋友

相关博文

讨论1

分类： LINUX

2010-06-17 17:37:01

201008前 15:59:20
上班了吗
回复
201008前 15:59:42
我有一个问题。没有搞明白
回复
王祖杰 16:26:54
还在原来地方
回复
王祖杰 16:27:26
下周才去新地方
回复
201008前 16:33:54
嗯
回复
201008前 16:34:09
在吗
回复
201008前 16:34:14
问一下问题。
回复
王祖杰 16:34:40
什么问题
回复
201008前 16:34:46

http://blog.chinaunix.net/u3/113457/showphoto_179071.html
回复
201008前 16:35:04
这上面的是CA机构的公钥吗
回复
王祖杰 16:35:39
root sgc authority ?
回复
201008前 16:36:23
嗯是不是互联网上权威的CA中心的公钥。
回复
201008前 16:37:28
但是我做了一个CA中心，和一个Web服务器。和一个客户端来访问Web服务器。用CA中心认证，为什么我把CA中心这台机器关了。还可以用https去访问呢？都没有把CA中心的公钥下下来。怎么也可以访问呢？
回复
王祖杰 16:37:29
是的
回复
王祖杰 16:39:06
签名是ca中心签给你的https服务器的，然后你服务器的公钥发给客户机，客户机可以通过公钥信息知道是谁签名的，这个和 ca中心是否开机无关
回复
王祖杰 16:39:54
客户机知道了谁签名需要自己决定是否添加这个证书所以可以访问授权的ca 也可以访问私有的ca 签名的网站
回复
201008前 16:41:16
也就是说，如果CA中心没有开，客户就不会下载CA中心的公钥。但还是会访问WEB服务器。不过这样是不信任的。
回复
201008前 16:41:36
那么如果CA中心开机了。会不会下载CA中心的公钥呢？
回复
王祖杰 16:42:03
客户机不下载ca的公钥的
回复
王祖杰 16:42:22
只从https服务器下载被签名的公钥
回复
201008前 16:43:03
那

http://blog.chinaunix.net/u3/113457/showphoto_179071.html这些钥匙这么回事的呢？
回复
王祖杰 16:44:02
这些事世界上公认的一些公钥你只要重装系统就会有的
回复
201008前 16:44:57
这些公钥，不就是用来验证。服务器是不是合法的吗？
回复
王祖杰 16:45:28
这个和ca服务器是否开机有什么关系
回复
王祖杰 16:45:36
公认的ca中心就是合法的
回复
王祖杰 16:45:52
只要是这些ca中心签名的证书所有机器都认可
回复
王祖杰 16:46:01
和ca开机有什么关系？
回复
201008前 16:46:38
我的意思是说如果我的CA中心我被我自己认可。我就要把我的CA公钥放上去不。是吧？
回复
王祖杰 16:47:04
那个ca中心签的名都包括在证书信息里面，又不需要从ca服务器上下载
回复
王祖杰 16:47:17
哪个ca中心签的名都包括在证书信息里面，又不需要从ca服务器上下载
回复
王祖杰 16:47:52
只要发现证书签名的ca是合法的，就自动添加不会警告
回复
王祖杰 16:48:05
发现ca不是合法的就会警告你是否添加

日期:2010-6-17
回复
201008前 16:48:09
我没有CA中心的公钥，你怎么知道你签的名都包括在证书信息里面是不是合法的呢？
回复
王祖杰 16:48:31
默认合法的ca中心所有系统都知道
回复
王祖杰 16:48:37
不需要你去查询的
回复
201008前 16:48:38
是啊。警告你是否添加的就是CA中心的公钥不
回复
王祖杰 16:48:49
。。。。。
回复
王祖杰 16:48:56
是https发出来的公钥
回复
201008前 16:49:02
警告你是否添加的就是CA中心的公钥吗
回复
王祖杰 16:49:27
只是说签https的公钥的ca中心不合法
回复
王祖杰 16:50:09
所谓的不合法就是说这个ca中心不存在于已知ca内部
回复
王祖杰 16:50:26
所谓的不合法就是说这个ca中心不存在于已知ca内
回复
201008前 16:50:28
那么为什么第二次就不报了呢？
回复
王祖杰 16:50:34
所以要客户自己判断
回复
王祖杰 16:50:36
。。。。
回复
王祖杰 16:50:41
那是你自己选择的呀
回复
王祖杰 16:50:54
你选了永远信任那么第二次就不提示了
回复
201008前 16:53:56
想想看
回复
王祖杰 16:54:04
恩
回复
王祖杰 16:54:18
ca中心只和你的https服务器有关
回复
王祖杰 16:54:41
但是会把自己的信息打在公钥上
回复
王祖杰 16:54:54
然后你的客户端只和 https有关
回复
王祖杰 16:55:03
下载证书上面会得到ca的信息
回复
王祖杰 16:55:25
和已知的合法的ca进行比较发现时非法的就提醒你
回复
201008前 16:55:40
还是要用CA中心的公钥要判断，签名是否合法啊
回复
王祖杰 16:55:56
哪里有ca的公钥？
回复
201008前 16:56:06
浏览器上
回复
王祖杰 16:56:18
恩对
回复
王祖杰 16:56:39
你去信任只和认为那个ca是合法的就好
回复
201008前 16:56:44
所以我是加CA中心的公钥上去
回复
王祖杰 16:56:49
恩
回复
201008前 16:57:21
我画个图
回复
王祖杰 16:57:30
我知道了
回复
王祖杰 16:58:08
你如果信任了那个ca当然就另当别论
回复
201008前 16:59:08

http://blog.chinaunix.net/u3/113457/showphoto_179072.html
回复
201008前 16:59:17
是这个的图吧
回复
201008前 16:59:36
我们先讨论在公网的情况
回复
201008前 17:00:20
PC有CA中心的公钥。PC有WEB的公钥。也就是CA签过来的公钥。
回复
201008前 17:00:52
因为WEB的公钥是CA中心的私钥签出来的。
回复
201008前 17:01:25
所以PC通过CA的公钥可以识别WEB的公钥是合法的。
回复
王祖杰 17:02:29
我明白你的意思，
回复
王祖杰 17:02:44
你的理解是对的
回复
201008前 17:03:02
WEB的公钥在我的访问的时候传给了PC，是因为浏览器有了CA中心的公钥所以才不会提示你信任。
回复
201008前 17:04:51
现在就是这样的问题，我PC都得不到CA的公钥。我怎么解密我WEB的公钥呢？
回复
201008前 17:05:22
所以CA的公钥和WEB的公钥都要在PC上才可以访问。
回复
201008前 17:05:55
就像我们浏览器里面自带的CA权威机构的公钥是一个道理的。
回复
201008前 17:05:58
是不是啊
回复
王祖杰 17:07:16
有一点问题 web公钥不需要解密的
回复
王祖杰 17:07:42
即使没有ca公钥也就是提醒一下而已
回复
201008前 17:07:57
哦。可能就是这里我理解错了
回复
王祖杰 17:08:05
恩对
回复
王祖杰 17:08:11
所以和ca是否开机无关
回复
201008前 17:08:37
CA的公钥不是解密它。用CA的公钥做了什么呢
回复
201008前 17:09:07
CA的公钥只是信任了WEB的公钥吗？
回复
王祖杰 17:09:50
就是贴个牌告诉大家我的ca是认可的，当你收到标了这个牌的公钥的时候，比对一下是否是欺骗的
回复
201008前 17:11:24
这样说可以。但CA的私钥对WEB的req签名做了什么呢？
回复
201008前 17:11:34
还有WEB的req
回复
201008前 17:11:53
也是由WEB的私钥生成出来的
回复
王祖杰 17:11:55
这个不太清楚了
回复
201008前 17:12:23
WEB的req也是由WEB的私钥生成出来的
这句话对吧。
回复
王祖杰 17:12:50
不知道啊，req 应该就是访问一下的意思吧
回复
王祖杰 17:13:09
哦req 是注册的意思
回复
201008前 17:13:25
嗯。
回复
王祖杰 17:13:38
那就是签名申请的过程
回复
王祖杰 17:14:28
你perl学的怎么样了
回复
201008前 17:15:21
但是有一条命令是这样的。
回复
201008前 17:17:29
我找一下
回复
201008前 17:17:48
PERL还在学基础呢
回复
201008前 17:18:01
你呢。最近在功PERL吧
回复
王祖杰 17:18:16
perl是个坑啊，要费点时间
回复
201008前 17:18:26
嗯是啊
回复
201008前 17:19:35
#openssl req -new -key ca.key -out ca.csr
回复
201008前 17:19:41
就是这条命令。
回复
201008前 17:20:12
我是这样理解的。csr是由
私钥生成的。
回复
201008前 17:20:29
csr 就是req吧。两个一样的东西。
回复
王祖杰 17:20:49
csr当然是由私钥生成的
回复
王祖杰 17:21:11
否则怎么证明你的唯一性
回复
201008前 17:21:13
csr就是req？
回复
201008前 17:21:19
嗯
回复
王祖杰 17:21:19
对啊
回复
201008前 17:21:24
那就是啦。
回复
201008前 17:22:02
这样说来，可能我就是把“我PC都得不到CA的公钥。我怎么解密我WEB的公钥呢？”这句话理解错了。
回复
201008前 17:22:27
才以为在传CA的公钥
回复
王祖杰 17:22:33
呵呵你在看什么书啊
回复
王祖杰 17:22:44
中文的书都写得很难理解
回复
201008前 17:23:38
在看MySQL的深入浅同这本书。
回复
201008前 17:23:48
还有在就在做Windows的实验。
回复
201008前 17:24:23
windows的实验我都过了一遍了。
回复
王祖杰 17:24:30
哦呵呵
回复
王祖杰 17:24:43
我已经和windows说再见了
回复
201008前 17:24:58
嗯。还在不用windows了啊。
回复
王祖杰 17:25:11
呵呵
回复
王祖杰 17:25:20
以后不用了
回复
201008前 17:25:22
我是这次去比赛，才用了一下。以后也就不用了。
回复
王祖杰 17:25:29
恩
回复
王祖杰 17:25:37
我下班了先下了 88
回复
201008前 17:25:42
嗯。好的。886
回复
201008前 17:26:02
好你讨论。我很高兴。
回复
201008前 17:26:10

回复
王祖杰 17:26:19
呵呵彼此学习学习~~~
回复
王祖杰 17:26:31

回复
201008前 17:26:36
嗯。

阅读(427) | 评论(0) | 转发(0) |

上一篇：链接收藏

下一篇：2009年7月6号SK1--安装系统

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6