在 OpenShift Origin 中，我需要生成密钥和证书以确保我的连接安全。这些密钥来自哪里？

Question

SSL 密钥基础设施旨在防止中间人 (MITM) 攻击。假设您是一家银行。MITM 可以拦截您与客户之间的通信，冒充您的客户，并冒充您的客户。

为此，中间人必须生成一个密钥，并使用该密钥加密您与客户之间的通信。但是，浏览器会要求您的银行服务器（以及任何其他服务器）提供来自受信任的第三方的证书，以确保该密钥确实属于银行的服务器，从而阻止 MITM 执行此操作。MITM 无法获得此类证书，但如果您是有效的银行服务器，则可以。

因此，为了保护您的客户，您需要生成私钥和证书请求。

openssl req -new -newkey rsa:2048 -nodes -keyout <your_domain>.key -out <your_domain>.csr

CSR 文件基本上是你向认证机构提出的请求，以验证你的密钥确实属于域名所有者银行<your_domain>。

将 CSR 文件发送给证书颁发机构。这可能是一些 SSL 销售商，如 COMODO 或 GODADDY。或者，您可以颁发自签名证书并进行验证（但浏览器不会信任您，因为您知道，MITM 也可以创建自签名证书）
颁发机构将返回一个带有签名证书的 .CRT 或 .CER 文件给您，以及一组上游 .CER 文件（颁发机构本身也可以不具备任何权限，但可以被更高级别的颁发机构授予签署和销售证书的特权 - 在这种情况下，您将获得 3 个证书 - 您自己的证书、中间经销商的证书和“真正”颁发机构的根证书）。

将这 3 个证书（您的证书、中间证书、根证书）连接到 .PEM 文件并将其与您的 OpenShift 服务器一起分发（转到应用程序 -> 路由并在该页面上按“编辑”以上传您的私钥和证书链）。

Answer 1

SSL 密钥基础设施旨在防止中间人 (MITM) 攻击。假设您是一家银行。MITM 可以拦截您与客户之间的通信，冒充您的客户，并冒充您的客户。

为此，中间人必须生成一个密钥，并使用该密钥加密您与客户之间的通信。但是，浏览器会要求您的银行服务器（以及任何其他服务器）提供来自受信任的第三方的证书，以确保该密钥确实属于银行的服务器，从而阻止 MITM 执行此操作。MITM 无法获得此类证书，但如果您是有效的银行服务器，则可以。

因此，为了保护您的客户，您需要生成私钥和证书请求。

openssl req -new -newkey rsa:2048 -nodes -keyout <your_domain>.key -out <your_domain>.csr

CSR 文件基本上是你向认证机构提出的请求，以验证你的密钥确实属于域名所有者银行<your_domain>。

将 CSR 文件发送给证书颁发机构。这可能是一些 SSL 销售商，如 COMODO 或 GODADDY。或者，您可以颁发自签名证书并进行验证（但浏览器不会信任您，因为您知道，MITM 也可以创建自签名证书）
颁发机构将返回一个带有签名证书的 .CRT 或 .CER 文件给您，以及一组上游 .CER 文件（颁发机构本身也可以不具备任何权限，但可以被更高级别的颁发机构授予签署和销售证书的特权 - 在这种情况下，您将获得 3 个证书 - 您自己的证书、中间经销商的证书和“真正”颁发机构的根证书）。

将这 3 个证书（您的证书、中间证书、根证书）连接到 .PEM 文件并将其与您的 OpenShift 服务器一起分发（转到应用程序 -> 路由并在该页面上按“编辑”以上传您的私钥和证书链）。

相关内容