服务器私钥，公钥和私钥的关系

Windows使用服务器私钥登录服务器

服务器生成密钥

执行命令：ssh-keygen-t rsa

使用的是root用户，则密钥在/root/.ssh/目录中查找 id_rsa（私钥）和  id_rsa.pub（公钥） 两个文件

其他用户则在home目录中查找，如：/home/用户名/.ssh

使用服务器的私钥登录服务器

1、将服务器的公钥添加到服务器对应账户的home目录下的.ssh/authorized_keys文件中，添加到末尾

2、使用服务器的私钥进行登录

命令格式：

ssh-i私钥账户名@服务器ip

样例：

ssh-i C:/Users/xxx/Desktop/id_rsa ubuntu@192.168.100.154

cmd命令窗口截图：

服务器公钥私钥总结

在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。

公钥用来给数据加密，用公钥加密的数据只能使用私钥解密

用来解密公钥加密的数据。

对需要传输的文本，做一个HASH计算，一般采用SHA1，SHA2来获得

使用私钥对需要传输的文本的摘要进行加密，得到的密文即被称为该次传输过程的签名。

数据接收端，拿到传输文本，但是需要确认该文本是否就是发送发出的内容，中途是否曾经被篡改。因此拿自己持有的公钥对签名进行解密（密钥对中的一种密钥加密的数据必定能使用另一种密钥解密。），得到了文本的摘要，然后使用与发送方同样的HASH算法计算摘要值，再与解密得到的摘要做对比，发现二者完全一致，则说明文本没有被篡改过。

是将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，所以数据加密可以保护数据，防止监听攻击。其重点在于数据的安全性。

公钥登录是为了解决每次登录服务器都要输入密码的问题，流行使用RSA加密方案，主要流程包含：

1、客户端生成RSA公钥和私钥

2、客户端将自己的公钥存放到服务器

3、客户端请求连接服务器，服务器将一个随机字符串加密后发送给客户端

4、客户端根据自己的私钥解密这个随机字符串之后再发送给服务器

5、服务器接受到字符串之后用公钥解密，如果正确就让客户端登录，否则拒绝。这样就不用使用密码了。

进入用户目录下.ssh目录：

id_rsa：私钥文件

id_rsa.pub：公钥文件

authorized_keys:保存其他公钥的的文件

known_hosts:已经建立过连接的服务器信息，可以清空。

1.执行命令：

此时会重新生成id_rsa私钥文件和id_rsa.pub公钥文件

用户将公钥发送给其他服务器，其他服务器将接受的公钥保存在authorized_keys里面。持有私钥的用户就可以登录服务器（authorized_keys存放自己的公钥，用户便可以使用私钥从其他的地方登录服务器）。

2.将公钥导入到vps

3.修改SSHD的配置文件/etc/ssh/sshd_config

4.重启SSH后进行测试

https 证书 私钥 公钥

引言

使用HTTP（超文本传输）协议访问互联网上的数据是没有经过加密的。也就是说，任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候，我们需要在网络上传输一些安全性或者私秘性的数据，譬如：包含信用卡及商品信息的电子订单。这个时候，如果仍然使用HTTP协议，势必会面临非常大的风险！相信没有人能接受自己的信用卡号在互联网上裸奔。

HTTPS（超文本传输安全）协议无疑可以有效的解决这一问题。所谓HTTPS，其实就是HTTP和SSL/TLS的组合，用以提供加密通讯及对网络服务器的身份鉴定。HTTPS的主要思想是在不安全的网络上创建一安全信道，防止黑客的窃听和攻击。

SSL（安全套接层）可以用来对Web服务器和客户端之间的数据流进行加密。

SSL利用非对称密码技术进行数据加密。加密过程中使用到两个秘钥：一个公钥和一个与之对应的私钥。使用公钥加密的数据，只能用与之对应的私钥解密；而使用私钥加密的数据，也只能用与之对应的公钥解密。因此，如果在网络上传输的消息或数据流是被服务器的私钥加密的，则只能使用与其对应的公钥解密，从而可以保证客户端与与服务器之间的数据安全。

数字证书（Certificate）

在HTTPS的传输过程中，有一个非常关键的角色——数字证书，那什么是数字证书？又有什么作用呢？

所谓数字证书，是一种用于电脑的身份识别机制。由数字证书颁发机构（CA）对使用私钥创建的签名请求文件做的签名（盖章），表示CA结构对证书持有者的认可。数字证书拥有以下几个优点：

使用数字证书能够提高用户的可信度

数字证书中的公钥，能够与服务端的私钥配对使用，实现数据传输过程中的加密和解密

在证认使用者身份期间，使用者的敏感个人数据并不会被传输至证书持有者的网络系统上

X.509证书包含三个文件：key，csr，crt。

key是服务器上的私钥文件，用于对发送给客户端数据的加密，以及对从客户端接收到数据的解密

csr是证书签名请求文件，用于提交给证书颁发机构（CA）对证书签名

crt是由证书颁发机构（CA）签名后的证书，或者是开发者自签名的证书，包含证书持有人的信息，持有人的公钥，以及签署者的签名等信息

备注：在密码学中，X.509是一个标准，规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

创建自签名证书的步骤

注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。

第1步：生成私钥

使用openssl工具生成一个RSA私钥

1$ openssl genrsa -des3 -out server.key 2048

说明：生成rsa私钥，des3算法，2048位强度，server.key是秘钥文件名。

注意：生成私钥，需要提供一个至少4位的密码。

第2步：生成CSR（证书签名请求）

生成私钥之后，便可以创建csr文件了。

此时可以有两种选择。理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体操作如下：

1$ openssl req -new -key server.key -out server.csr

说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。

1

2

3

4

5

6

7

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Beijing

Locality Name (eg, city) []:Beijing

Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios

Organizational Unit Name (eg, section) []:info technology

Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com

Email Address []:liufan@joyios.com

第3步：删除私钥中的密码

在第1步创建私钥的过程中，由于必须要指定一个密码。而这个密码会带来一个副作用，那就是在每次Apache启动Web服务器时，都会要求输入密码，这显然非常不方便。要删除私钥中的密码，操作如下：

1

2

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

第4步：生成自签名证书

如果你不想花钱让CA签名，或者只是测试SSL的具体实现。那么，现在便可以着手生成一个自签名的证书了。

需要注意的是，在使用自签名的临时证书时，浏览器会提示证书的颁发机构是未知的。

1$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

说明：crt上有证书持有人的信息，持有人的公钥，以及签署者的签名等信息。当用户安装了证书之后，便意味着信任了这份证书，同时拥有了其中的公钥。证书上会说明用途，例如服务器认证，客户端认证，或者签署其他证书。当系统收到一份新的证书的时候，证书会说明，是由谁签署的。如果这个签署者确实可以签署其他证书，并且收到证书上的签名和签署者的公钥可以对上的时候，系统就自动信任新的证书。

第5步：安装私钥和证书

将私钥和证书文件复制到Apache的配置目录下即可，在Mac 10.10系统中，复制到/etc/apache2/目录中即可。