通过openssl命令生成自签名证书时,通常我会将-keyout和-out指定到不同的文件,但这次我从python ssl模块中看到了这样的命令:自签名证书
openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
它将私钥写入与证书相同的文件?这样做有什么好处?为什么把它们放在这里?
我的意思是,如果私钥在证书中,那么在TLS握手期间,证书会被发送到客户端权限,这是安全问题吗?
否。文件未发送到对等方。该文件用于将证书和私钥加载到应用程序中,然后仅将证书发送到对等方。无论它们是在同一个PEM文件、不同的PEM文件中、DER格式的文件中、PKCS#12文件中,都没有区别——实际的文件永远不会发送。