通俗易懂讲解,彻底弄懂 https 原理本质(五)https 的过程

最新推荐文章于 2024-04-27 23:04:19 发布
最新推荐文章于 2024-04-27 23:04:19 发布
阅读量491 收藏 1
点赞数 1
文章标签: https 安全 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_aiyang/article/details/129801225
版权

一、数字证书的验证

        小花👧收到了小明👦的数字证书,首先要验证此数字证书是不是CA颁发的。

        因为我们电脑、手机的操作系统里面,都会内置CA机构的数字证书。

        所以,小花👧就可以对数字证书进行验证。

知识回顾

摘要:单向加密算法,比如md5对证书整个内容加密的结果就叫摘要,也叫做证书的指纹;

签名:小明用私钥🔑对摘要进行加密出来签字串,就叫做签名。

验签:用公钥对签名进行解密出来的摘要和原来的对比,就叫做验签。


数字证书的验证流程,如下:

  1. 小花👧用内置的CA的数字证书,得到CA的公钥。
  2. 小明👦的数字证书 M 。小花用小明的公钥对证书M里面的签名进行解密,得到摘要D1。
  3. 小花👧根据证书M的摘要算法md5对证书整个内容计算得到摘要D2。
  4. 小花👧对比摘要D2和D1 是否相等。是则说明此证书就是CA颁发的;否则说明此证书不是CA颁发的,是有风险的,不安全的。

        证书验证通过后,就说明此证书是CA颁发的。那么,小花就可以从数字证书中拿到小明的公钥了。因为小明在申请数字证书时,数字证书中所有者是小明,CA是会验证小明的身份的,所以数字证书中小明的公钥是真实的。

        至此,小明终于把公钥安全的传输给了小花了。

        这件事的成立 ,接下来我们的工作就好做多了,接下来,我们看一下具体的传输过程。

二、 完整的传输过程

        通过前面所有的关卡后,我们最后梳理一下完整的传输过程。

  1. 小明把写完的信,附加上摘要算法MD5, 以及通过MD5算出来的摘要;
  2. 小明用私钥,对摘要进行加密得到签名;
  3. 小明把摘要算法、摘要、签名都附加到信件上,连同数字证书一起发送给小花;
  4. 小花收到信后,首先用CA数字证书拿到CA公钥对小明的数字证书进行验证;
  5. 小花发现验证通过后,会从证书中拿到了小明的公钥;
  6. 小花有了小明的公钥,接下来就对信件内容进行验证;
  7. 小花用小明的公钥对信件的签名解密,得到信件摘要D1;
  8. 小花用摘要算法对信件运算,得到信件摘要D2;
  9. 小花对比 D1 是否等于D2;
  10. 如果不相等,说明信件被人篡改过,不安全;
  11. 如果相等,说明,信件内容没有被篡改过;
  12. 相等的情况,小花就拿到了信件的内容。

        以上所有的内容,是数字证书,加密解密,签名,验签的过程,还没有正式讲 https 的过程呢。

三、https 的过程

        我们先看一张图。

         我们以访问 www.helloworld.net 网站为例,讲解https的过程。

(1)网站申请证书阶段

  1. 网站向CA机构申请数字证书(需要提交一些材料,比如域名);
  2. CA向证书中写入摘要算法,域名,网站的公钥等重要信息;
  3. CA根据证书中写入的摘要算法,计算出证书的摘要;
  4. CA用自己的私钥对摘要进行加密,计算出签名;
  5. CA生成一张数字证书,颁发给了 www.helloworld.net;
  6. 网站的管理员,把证书放在自己的服务器上;

(2)浏览器验证证书阶段;

  1. 浏览器在地址栏中输入https://www.helloworld.net,并回车
  2. 服务器将数字证书发送给浏览器;
  3. 浏览器用操作系统内置的CA的数字证书,拿到CA的公钥;
  4. 浏览器用CA公钥对 www.helloworld.net 的数字证书进行验签;
  5. 具体就是,浏览器用CA公钥,对helloworld的数字证书中的签名进行解密,得到摘要D1;
  6. 浏览器根据helloworld数字证书中的摘要算法,计算出证书的摘要D2;
  7. 对比 D1和D2 是否相等。;
  8. 如果不相等,说明证书被掉包了;
  9. 如果相等,说明证书验证通过了;

(3)协商对称加密密钥阶段

  1. 浏览器验证数字证书通过以后;
  2. 浏览器拿到数字证书中的公钥,也就是 www.helloworld.net 网站的公钥;
  3. 浏览器就用网站的公钥对密钥S进行加密,加密以后的密文发送给服务器;
  4. 服务器收到密文后,用自己的私钥进行解密,得到密钥S;
  5. 此后浏览器,服务器双方就用密钥S进行对称加密的通信了;

至此,https过程结束。

        过程那么多,抓住几个关键的问题去理解会更简单。其实本质上还是两个人如何安全高效的进行通信。

四、总结

        最后,我们简单的总结一下。

question:小明和小花安全的通信,怎么做?

答:通过加密

question:通过哪种加密方式通信,更高效?

答:对称加密。因为,单向加密,没办法解密,不行。非对称加密,太慢,也不行。只有对称加密,速度快。

question:采用对称加密,密钥S 怎么安全传输?

答:小花使用小明的公钥,对密钥S进行加密,传给小明。小明用自己的私钥解密。

question:小明如何安全的把自己的公钥传输给小花?

答:使用数字证书。​具体就是小明向CA申请一个自己的数字证书,把自己的公钥放在证书中,小明再将数字证书发送给小花。

question:小花如何验证数字证书的真实性?

答:小花用操作系统内置的CA的数字证书,拿到CA的公钥,用CA的公钥,对数字证书进行验签

验签通过,说明数字证书是真的。

       系统文章,就写完了。解决的问题是双方通信如何采用安全高效的方式进行。

欢迎点赞关注。

艾阳Blog
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Windows 认证
09-18
Windows 操作系统自带CA认证,可以帮助ssl安全
抓包Android 7.0+将ca证书导入到系统(设置为系统证书),以及删除【用户凭据】证书
键盘的起始页
02-01 1万+
一、证书操作 1、查看证书 ① 查看crt\der格式证书 openssl x509 -in FiddlerRoot.crt -inform DER -noout -text ② 查看pem证书 openssl x509 -in certificate.pem -inform pem -noout -text 2、证书转换 ① crt/der转pem openssl x509 -in FiddlerRoot.crt -inform DER -out certificate.pem
安全 - 加密之签名、验签与https
yiguang_820的博客
06-18 976
对加签验签的理解
[Linux] 一文理解HTTPS协议:什么是HTTPS协议、HTTPS协议如何加密数据、什么是CA证书(数字证书)...
七月.cc的博客
01-07 1085
由于 HTTP 的不安全, 所以才出现了 HTTPS 协议.
浏览器获取服务器CA证书与认证流程-HTTPS
抽象的螺旋
12-26 7352
证书的签发过程 服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证; CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等; 如信息审核通过,CA 会向申请者签发认证文件-证书。 证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名; 签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行
02-HTTPS证书生成、验签 、证书链
River的博客
11-11 1216
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
HTTPS请求流程(证书的签名及验证过程
gsn1125227的博客
08-07 5410
在如今互联网高速发展,技术人员技术日益精深的情况下,网络安全越来越受到大家的重视,而HTTPS作为网络安全中比较基础的部分, 绝大部分的客户端都在使用,那么你真的清楚HTTPS的加密原理吗?下面就让我用简单易懂的方式了解下。 首先我们先思考下面几个问题: 1、客户端如何进行签名的? 2、签名的验证是在哪,服务端?客户端? 3、如何验证签名? 首先我们说下使用HTTPS的作用,主要...
数字证书及CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
通俗易懂讲解IGBT的工作原理和作用
08-21
本文通过等效电路分析,通俗易懂讲解IGBT的工作原理和作用,并精简的指出了IGBT的特点。可以说,IGBT是一个非通即断的开关,兼有MOSFET的高输入阻抗和GTR的低导通压降两方面的优点。
通俗易懂的随机森林模型讲解
02-20
首先我们来定义一下随机森林,啥叫随机森林呢,森林指的是有一堆大树的地方,随机指每棵大树种植的过程中施肥的种类是随机地选择的。但是好好地一个模型怎么就变成大树了呢?当然不是啦,这里大树指的是决策树,而...
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
通俗易懂的三极管工作原理
01-20
 2、晶体三极管的工作原理。  其次,三极管工作必要条件是(a)在B极和E极之间施加正向电压(此电压的大小不能超过1V);(b)在C极和E极之间施加反向电压(此电压应比eb间电压较高);(c)若要取得输出必须施
通俗易懂讲解Cramer-Rao下界
12-21
本文档通俗易懂讲解讲解了Cramer-Rao下界(克拉美罗下界),适合初学者
HTTP和HTTPS的区别及HTTPS的工作原理
m0_53327171的博客
04-27 656
1、安全性2、URL3、证书4、性能建立连接:握手阶段(Handshake):加密通信:数据传输:结束连接:
全程免费的ssl证书申请——七步实现网站https
abcd759200的博客
04-24 380
从申请到安装全程免费
SpringBoot 如何获取HttpServletRequest 简称 Request对象
qq_44721738的博客
04-22 534
如果还需要注入response,代码就更繁琐了。而对于方法2,不仅可以在Controller中注入,还可以在任何Bean中注入,包括Service、Repository及普通的Bean。注入的对象不限于request:除了注入request对象,该方法还可以注入其他scope为request或session的对象,如response对象、session对象等;减少代码冗余:只需要在需要request对象的Bean中注入request对象,便可以在该Bean的各个方法中使用,与方法1相比大大减少了代码冗余。
http和https的区别
最新发布
lth002的博客
04-27 1986
但是这种方式也有一个弊端,那就是被篡改,就是在服务端第一次给客户端公钥key1的时候,第三方把公钥key1保存起来,然后第三方生成一个公钥key3和私钥key3,然后将公钥key3给客户端,客户端并不知道这个公钥key3是被篡改的,也用公钥key3来加密公钥key2,然后第三方窃取到这个加密后的公钥key2,通过私钥key3进行解密就可以拿到公钥key2,进行保存,然后再用之前保存的公钥key1来加密给服务端,这样第三方也能获取到公钥key2。不能理解的话就画图来表示,整个逻辑很简单的。
Android - OkHttp 访问 https 的怪问题
GitLqr的博客
04-21 1072
才是主流,但有可能存在个别网站不支持,所以,我们在使用 OkHttp 发起 https 请求之前,首先要搞清楚,就是服务端(接口)支持的 ssl 协议有哪些。最近使用 OkHttp 访问 https 请求时,在个别 Android 设备上遇到了几个问题,搜罗网上资料,经过一番实践后,问题得到了解决,同时,我也同步升级了我的 https 证书忽略库。的 Android 4.x 设备上,在高版本 Android 系统上并未发现,所以,为了降低风险,将上述代码做了系统版本控制,运行情况是否稳定还在观察中。
HTTPS原理
渔阳的博客
04-23 440
安全性:高加密传输明文传输加密方式分对称加密和非对称加密,https是把这两种都用上了称之为混合加密。
通俗易懂讲解transformer
03-31
Transformer是一种用于自然语言处理的模型,它是一种基于编码器-解码器结构的模型。它的主要思想是利用自注意力机制(self-attention)来捕捉输入序列中的相关信息,同时避免了传统的循环神经网络中存在的梯度消失...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

艾阳Blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值