//單純使用公私鑰進行加解密，會存在公鑰被替換偽造的風險，無法判斷公鑰是否屬於服務提供商。

//所以，公鑰需要通過CA機構的認證。

//CA機構用自己的私鑰，對服務提供商的相關資訊及公鑰進行加密生成數字證書。

//在進行安全連線的時候，服務提供商將證書一同發給使用者。

//使用者收到證書後，從他的CA認證機構下載證書/公鑰，驗證服務提供商證書的合法性。

//最後，從證書中提取服務商提供的公鑰，加、解密資訊進行通訊。

名詞解釋：

    CA: Certificate Authority，證書中心/證書授權中心/電子認證服務機構，負責管理和簽發證書的，受公眾信任足夠權威的第三方機構，檢查證書持有者身份的合法性，並簽發證書，以防證書被偽造或篡改。

    CA證書: CA頒發的證書, 或數字證書，包含證書擁有者的身份資訊，CA機構簽名，公鑰等。

證書編碼：

    DER編碼，二進位制DER編碼。

    PEM編碼，用於ASCII(BASE64)編碼，檔案由 "-----BEGIN"開始，"-----END"結束。

證書檔案字尾：

    .pem(openssl預設，PEM編碼的檔案) .crt(Unix/Linux，DER或PEM編碼都可以) .cer(windows，二進位制)  .der(二進位制)

祕鑰檔案：

    .key

伺服器證書申請檔案/證書籤名請求檔案：

    .req  .csr

使用openssl模擬祕鑰證書的生成過程:

  openssl x509工具主要用於輸出證書資訊, 簽署證書請求檔案、自簽署、轉換證書格式等。它就像是一個完整的小型的CA工具箱。

  1.生成伺服器私鑰:

      1.1.需要經常輸入密碼：

      openssl genrsa -des3 -out server_private.key 2048 會有輸入密碼的要求

      1.2.去除密碼：

      openssl rsa -in server_private.key -out server_private.key

      1.3.無密碼證書祕鑰：

      openssl genrsa -out server_private.key 2048

    //1.4.生成公鑰:

    //openssl rsa -in server_private.key -pubout -out server_public.key

  2.生成 伺服器證書申請檔案/證書籤名請求檔案 .req:

      2.1.openssl req -new -key server_private.key -out server.req

      會讓輸入Country Name 填 CN; Common Name 填 ip 也可以不填。

      #檢視server.req

      2.2.openssl req -in server.req -text

  3.生成CA私鑰：

      3.1.openssl genrsa -out ca_private.key 2048

  4.生成 CA證書申請檔案/證書籤名請求檔案 .req:

      4.1.openssl req -new -key ca_private.key  -out ca_request.req

      #檢視ca_request.req

      4.2.openssl req -in ca_request.req -text

  5.建立CA證書，用來給伺服器的證書籤名:(這個證書請求本來應由更高階的CA用它的private key對這個證書請求進行簽發，由於此時模擬的CA是 root CA，沒有更高階的CA了，所以要進行自簽發，用 自己的private key 對 自己的證書請求 進行簽發。)

      5.1.openssl x509 -req -in ca_request.req -signkey ca_private.key -days 365 -out ca.pem

      #檢視證書

      5.2.openssl x509 -in ca.pem -noout -text

  6.CA用自己的CA證書ca.pem 和 私鑰ca_private.key 為 server.req 檔案簽名，生成伺服器證書，：

      6.1.openssl x509 -req -in server.req -CA ca.pem -CAkey ca_private.key -days 365 -CAcreateserial -out server.pem

      #檢視證書

      6.2.openssl x509 -in server.pem -noout -text

      #檢視公鑰

      6.3.openssl x509 -in server.pem -noout -pubkey

  7.檢視伺服器證書的modulus和伺服器私鑰的modulus，應該一樣：

      7.1.openssl x509 -in server.pem -noout -modulus

      7.2.openssl rsa -in server_private.key -noout -modulus

  8.使用者訪問https網站，伺服器會用private key加密資料傳輸，同時會把證書傳給使用者，裡面有public key資訊，用於解密資料。

    使用者使用公鑰機密的時候，要確認此公鑰是否是服務商的，是否是受信任的。

    使用者從服務商證書中發現，其證書是由某CA簽發的，從CA官網下載他的證書，發現它由 更高階CA簽發 或者 是root證書，自簽發的。

    這時就可以一級一級的驗證證書的合法性，最終確認服務商的證書是否被信任。

    驗證後就可以使用公鑰解密資訊，進行通訊。

    openssl verify -CAfile ca.pem server.pem

  9. ls 出現以下檔案：

      ca.pem  ca_private.key  ca_request.req  ca.srl  server.pem  server_private.key  server.req

  10.從證書匯出公鑰:

      openssl x509 -in server.pem -noout -pubkey -out server_public.key

  11.使用公鑰加密，私鑰解密:

      openssl rsautl -encrypt -in test.txt -inkey server_public.key -pubin -out test_encrypt.txt

      openssl rsautl -decrypt -in test_encrypt.txt -inkey server_private.key -out test_decrypt.txt

  12.不想瀏覽器發出警告，就匯入ca.pem檔案:

  13.檢視證書內容：

      13.1.打印出證書的內容：openssl x509 -in server.pem -noout -text

      13.2.打印出證書的系列號：openssl x509 -in server.pem -noout -serial

      13.3.打印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject

      13.4.以RFC2253規定的格式打印出證書的擁有者名字：openssl x509 -in server.pem -noout -subject -nameopt RFC2253

      13.5.打印出證書的MD5特徵引數：openssl x509 -in server.pem -noout -fingerprint

      13.6.打印出證書有效期：openssl x509 -in server.pem -noout -dates

      13.7.打印出證書公鑰：openssl x509 -in server.pem -noout -pubkey

  14.證書祕鑰要使用相同的編碼格式

  15.證書格式轉換:

    PEM轉DER格式：openssl x509 -inform pem -in server.pem -outform der -out server.der

    DER轉PEM格式：o