什么是ssl

openssl、x509、crt、cer、key、csr、ssl、tls这些都是什么

⿁？

今天尝试在mac机上搭建dockerregistry私有仓库时，杯具的发现最新的registry出于安全考虑，强制使⽤ssl认证，于是⼜详细了解linux/mac

上openssl的使⽤⽅法，接触了⼀堆新英⽂缩写，整理于下：

TLS：传输层安全协议TransportLayerSecurity的缩写

SSL：安全套接字层SecureSocketLayer的缩写

KEY通常指私钥。

CSR是CertificateSigningRequest的缩写，即证书签名请求，这不是证书，可以简单理解成公钥，⽣成证书时要把这个提交给权威的证书

颁发机构。

CRT即certificate的缩写，即证书。

X.509是⼀种证书格式.对X.509证书来说，认证者总是CA或由CA指定的⼈，⼀份X.509证书是⼀些标准字段的集合，这些字段包含有关⽤户

或设备及其相应公钥的信息。

X.509的证书⽂件，⼀般以.crt结尾，根据该⽂件的内容编码格式，可以分为以下⼆种格式：

PEM-PrivacyEnhancedMail,打开看⽂本格式,以"-----BEGIN..."开头,"-----END..."结尾,内容是BASE64编码.

Apache和*NIX服务器偏向于使⽤这种编码格式.

DER-DistinguishedEncodingRules,打开看是⼆进制格式,不可读.

Java和Windows服务器偏向于使⽤这种编码格式

OpenSSL相当于SSL的⼀个实现，如果把SSL规范看成OO中的接⼝，那么OpenSSL则认为是接⼝的实现。接⼝规范本⾝是安全没问题

的，但是具体实现可能会有不完善的地⽅，⽐如之前的"⼼脏出⾎"漏洞，就是OpenSSL中的⼀个bug.

openssl给⾃⼰颁发证书的步骤：

前提：先建⼀个cert⽬录，cd到该⽬录，以下所有命令的当前路径均为该⽬录

1.⽣成私钥KEY

2048

这⼀步执⾏完以后，cert⽬录下会⽣成⽂件

2.⽣成证书请求⽂件CSR

该命令先进⼊交互模式，让你填⼀堆东西，参考下图：

3.⽣成CA的证书

前⾯提过X.509证书的认证者总是CA或由CA指定的⼈，所以得先⽣成⼀个CA的证书

-days3650

4.最后⽤第3步的CA证书给⾃⼰颁发⼀个证书玩玩

-

-

执⾏完以后，cert⽬录下就是我们需要的证书。当然，如果要在google等浏览器显⽰出安全的绿锁标志，⾃⼰颁发的证书肯定不好

使，得花钱向第三⽅权威证书颁发机构申请(即：第4步是交给权威机构来做，我们只需要提交，哦，还有⽑爷爷就好了)