需要知道不同pem密钥的使用

Question

要通过 ssl 连接到远程 mysql 服务器，我们需要创建以下密钥

-rwxrwxrwx 1 root root 1.7K Oct 29 15:21 ca-key.pem
-rwxrwxrwx 1 root root 1.3K Oct 29 15:21 ca.pem
-rwxrwxrwx 1 root root 1.2K Oct 29 15:21 client-cert.pem
-rwxrwxrwx 1 root root 1.7K Oct 29 15:21 client-key.pem
-rwxrwxrwx 1 root root  993 Oct 29 15:21 client-req.pem
-rwxrwxrwx 1 root root 1.2K Oct 29 15:21 server-cert.pem
-rwxrwxrwx 1 root root 1.7K Oct 29 15:21 server-key.pem
-rwxrwxrwx 1 root root  993 Oct 29 15:21 server-req.pem

建立安全连接

mysql -u balaji_sri -pXXX --ssl-ca=ca.pem --ssl-key=client-key.pem --ssl-cert=client-cert.pem -h 18.221.222.23

I understand how web ssl works. 
(
*servers pub key is encrypted with CA'S private key which is shared to client as ssl key
*browser has all CA'S public key. browser decrypts and gets servers pub key
*client generates a random number and encrypts with servers public key
*server is able to decrypt that with its own private key
*rest of connection is handled with symmetrical encryption with the random number
)

以类似的方式，一些机构可以解释上面提到的每个键的作用是什么。 （ca-key.pem、ca.pem、client-cert.pem、client-key.pem、client-req.pem、server-cert.pem、server-key.pem、server-req.pem）

Answer 1

这个问题可能对crypto.SX 或security.SX 更感兴趣。总之，

*servers pub key 使用 CA 的私钥加密，作为 ssl key 共享给客户端

嗯……不。 使用公钥加密算法，用公钥加密，用私钥解密。 没有人可以使用私钥进行加密。如果公钥算法也支持数字签名（如RSA），则可以使用自己的私钥进行签名，每个人都可以使用签名者的公钥来验证签名（同理，不能使用公钥进行签名）。

根据您的问题，我的猜测如下（重新排序的项目）：

• ca-key.pem：证书颁发机构的私钥（应该加密！）
• ca.pem：您的授权根证书（使用ca-key.pem自签名）
• client-key.pem：客户端私钥
• client-req.pem：请求证书颁发机构（又名 csr）的签名
• client-cert.pem：证书颁发机构对上一个请求的响应
• server-key.pem：与client-key.pem相同，但用于服务器
• server-req.pem：与client-req.pem相同，但用于服务器
• server-cert.pem：与client-cert.pem相同，但用于服务器

您可能有兴趣关注this tutorial 以更好地了解 X509 证书。