CA 证书

最新推荐文章于 2024-05-16 03:45:56 发布
最新推荐文章于 2024-05-16 03:45:56 发布
阅读量846 收藏 1
点赞数
分类专栏: 博客 文章标签: ca 通信 加密

查看原文

证书内容

CA 证书是经由 CA 机构进行数字签名过的,包含公钥、公钥拥有者(即申请者)信息、签发者信息、有效期等信息的文件。在 Mac 电脑上的 钥匙串访问 中可以看到电脑中的证书信息,证书部分内容如下图所示。

查看原文

从图中我们可以看到,证书中包含了很多的信息,目前数字证书的格式遵循 X.509 标准

验证证书

在 HTTPS 通信中,服务器将非对称加密的公钥放置在证书中,然后将证书发送给客户端,客户端收到证书后验证证书,如果验证通过就可以确认公钥来自于服务器。那么,客户端如何验证证书呢?证书又是如何防伪的呢?

证书的验证和防伪需要用到证书中提供了两个信息:签发者使用的签名算法、指纹(签名),其中签名算法是证书签发机构对证书进行签名时所采用的算法。当客户端收到服务器发送过来的证书后,先对证书中的内容(证书内容是明文)进行检查,例如:证书是否在过期、公钥所有者 url 与当前服务器域名是否对应等。接着,为了防止其他人仿造证书(例如:将证书中的公钥和 url 替换成自己的),还需要验证证书的指纹。通过证书中提供的签名算法,生成证书内容的信息摘要,根据摘要算法的特性,如果证书内容被修改了,那么生成的摘要信息肯定就不一样。但是,如果其他人在替换证书内容后,根据新的内容重新生成信息摘要该怎么办呢?

因此,不能只是将证书内容的信息摘要作为指纹,而是使用 CA 机构的私钥对信息摘要进行加密,将加密后的内容作为指纹。客户端在验证时,使用 CA 机构提供的公钥解密指纹,然后将解密后的信息摘要与自己根据证书内容生成的信息摘要进行对比,如果两者相同,则说明证书没有被篡改。这样的话,如果其他人修改了证书内容并重新生成了信息摘要,由于没有 CA 机构的私钥,根本无法生成可以被 CA 机构的公钥解密出来的指纹,就能有效地防止证书被篡改。那么问题来了,如何确保 CA 的公钥是真实可信的呢?显然通过网络传输是无法确保的。事实上,在操作系统(或浏览器)中已经内置了世界上公认可信的 CA 证书,该证书中包含了公钥。这样的机构不会很多,所以完全可以做到内置。

信任链

所谓信任链就是说:A 信任 B,而 B 信任 C,所以 A 也信任 C。事实上,系统中并没有内置世界上所有 CA 机构的证书,只是内置了顶级 CA 机构的证书,而其他机构则通过信任链的方式进行证书的颁发。假设 A 是顶级 CA,系统中内置该机构的证书。B 是 A 的子机构,A 给 B 颁发了 CA 证书,B 给 C 颁发了 CA 证书,客户端验证 C 的证书的过程如下:

  1. 按照上文提到了证书验证方式,检查 C 的证书。
  2. 由于 C 的证书是由 B 颁发的,因此需要先获取 B 的证书,然后使用 B 的证书中的公钥解密指纹并对比信息摘要。
  3. 为了保证 B 的公钥真实可靠,需要验证 B 的证书,而 B 的证书是由 A 颁发的,所以使用 A 的公钥解密指纹并对比信息摘要。
  4. A 的公钥内置在系统中,认为是真实有效地。

通过这种信任链的机制,就能完成对证书的认证。可见,这里的关键之处在于顶级 CA 证书,这类证书通常系统内置,世界公认可信。所以,不要自己手贱乱添加证书啊~~~

hezh1994
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
CA证书资源包(全版本通用)
12-15
CA证书,全称为“证书权威机构证书”,是网络安全领域中的重要组成部分,主要负责在互联网上验证数字证书的合法性。在本资源包“CA证书资源包(全版本通用)”中,包含了一个名为“cacert.der”的文件。这个文件通常...
谷歌浏览器获取网站CA证书
weixin_43504224的博客
05-05 1978
CA证书获取
HTTPS证书认证过程(CA
lsh235的博客
07-20 3915
CA证书CA根公钥内置浏览器CA证书内置在客户端的操作系统。第二部分数字签名,数字签名即第一部分使用hash压缩的,CA机构使用自己的私钥进行加密的。主要包含了公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息。如果不同,可能证书被修改过或者不是使用CA公钥加密的。第一部分服务端的公钥,服务器名称、授权中心名称、有效期、序列号等。客户端收到证书,将证书上的CA证书与操作系统内置CA证书匹配。首先服务器生成自己的公钥和私钥,公钥发给CA机构。...
2024年网络安全最新现代密码学-CA与数字证书详解_caca证书(2),2024年最新网络安全基础开发入门(1)
最新发布
2401_84968582的博客
05-16 827
证书类似现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片)绑定在一起。个人身份证是由国家权威机关(公安部)签发的,该证件的有效性和合法性是由权威机关的签名或签章保障的,因此身份证可以用来验证持有者的合法身份的信息,称为身份鉴定。数字证书也称为公钥证书,是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心(简称CA)对该证书的签名。
面试官:ca证书存储在哪的
m0_50654102的博客
12-02 3990
背过八股文的小伙伴都知道,https中的ssl第二次握手的过程:服务端选择一套密钥、公钥、hash算法、摘要等囊括在ca证书中并发送给浏览器。 那么ca证书存储在哪个位置呢? 面试官这个问题把我直接整懵了。。 我:ssl握手过程中,浏览器会通过证书链层层验证,直至操作系统上的根证书,根证书存储在客户端本地,其余的存储在服务器上。 面试官:服务器哪个位置? 我:??? 反问环节顺便问了下面试官 服务器会有一个专门的地方存储证书,这个你回去后可以研究下(吐血) 老规矩,实践出真知,打开谷歌浏览器看看 emm
自建CA,并给服务器颁发证书,将该证书安装至浏览器
weixin_63137680的博客
03-28 1450
自建CA,并给服务器颁发证书,将该证书安装至浏览器
北京CA 证书应用安装程序
07-25
北京CA 证书应用安装程序
CA证书颁发
03-27
CA证书颁发过程详解 CA证书颁发是指CA机构颁发给网站服务器的数字证书,用于验证网站的身份和公钥。颁发过程中,CA机构会将网站服务器的公钥和CA签名组合在一起,生成一份数字证书。数字证书中包含了网站服务器的...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
https详解之 根证书、服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 4201
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是根证书。 操作系统预先安装的一些根证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些根证书的孙证书。根证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书+根证书证书链上的每个证书都是被它相邻的证书签发。
浏览器CA认证流程
01-14 8886
首先说说证书的签发过程: 服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证; CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等; 如信息审核通过,CA 会向申请者签发认证文件-证书证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等...
注意安全: linux下的chrome浏览器使用自带的CA证书列表了
My1o's blog
06-06 2694
刚发现linux下的chrome浏览器使用自带的CA证书列表了,所以删除/etc/ca-certificates.conf里的CNNIC和Entrust后,还要在chrome的证书管理器将以上两项删除。 最后一定要再访问https ://www.enum.cn,确认此网站是不被信任的。   .
解决自建ca认证后浏览器警告
TROUBLE I AM IN
09-01 8264
改进前一篇生成证书后会出现警告
CA证书和SSL证书的区别
蔚可云的博客
12-01 2100
对于大多数人来说说到什么是CA证书,什么是SSL证书,相信很多的人都回答不上来吧,那么今天我要给大家讲的是CA证书和SSL证书的区别。 CA证书和SSL证书的区别是什么呢?其实SSL证书CA证书的一种,CA的作用主要是负责签发证书、认证证书、管理已颁发证书这些。除此之外他还会制定相关的政策和具体的步骤来进行验证、识别用户的身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。SSL证书就是CA机构签发的。ssl证书申请 大多数的CA证书,都是可以在WINDOWS上直接生成的。通过点对点原理
浏览器获取CA认证流程
Android系统攻城狮
02-29 4747
首先说说证书的签发过程: 服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证; CA 通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等; 如信息审核通过,CA 会向申请者签发认证文件-证书证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间...
查看google浏览器里的证书
sanqima的专栏
07-30 6209
    在google浏览器的地址栏,输入如下命令,回车 chrome://settings/security     点击[管理证书] —> 受信任的根证书颁发机构 —> 详细信息 —> 所有 --> 公钥,如图(1)所示: 图(1) 查询google浏览器里的证书     可以看到,google浏览器有很多证书,这些证书有的是用于网站客户端进行登录的,有的是用于数据传输进行身份认证的,还有的是进行加密通信的,等等。 ...
详解HTTPS中数字证书验证系统
司开星的专栏
03-28 7372
关于浏览器验证网站数字证书的流程网上的资料一般讲的都不是很清楚。在查阅了不少资料后终于搞清楚这部分。CA下发给网站的证书都是一个证书链,也就是一层一层的证书,从根证书开始,到下级CA,一层一层,最后一层就是网站证书浏览器收到服务器发送的证书后,需要验证其真实性。而证书的签名是通过签名算法和上级CA的私钥生成的,并非很多文章里简单说的靠CA私钥生成。浏览器需要用上级CA的公钥才能解密签名,并与生成的
kafka ca证书
10-13
Kafka在进行数据传输时,为了保证通信的安全性可以使用CA证书CA证书(Certificate Authority)是由可信任的机构颁发的数字证书,用于验证通信方的身份和确保数据的机密性、完整性和可靠性。 在Kafka中使用CA证书有以下几个步骤: 1. 生成CA证书:首先需要生成CA证书,通常需要一台单独的服务器进行生成,该服务器上会包含私钥和证书请求文件。私钥用于进行数字签名,证书请求文件则包含了用于生成证书的信息。 2. 颁发证书:将生成的证书请求文件发送给可信赖的CA机构,CA机构会对证书请求进行验证,并在通过后签发数字证书。该数字证书包含了服务器的公钥以及CA机构对该证书的数字签名。 3. 安装CA证书:将CA证书安装到Kafka服务器上,确保Kafka能够使用该证书进行加密和解密数据。这个过程需要将证书文件放置到Kafka服务器指定的位置,并在Kafka配置文件中指定证书的路径。 4. 配置Kafka:在Kafka的配置文件中添加相关的SSL配置,包括开启SSL支持、指定CA证书的路径、指定私钥的路径和密码等。同时还需要设置Kafka的安全认证机制,例如使用SSL进行双向客户端认证或单向服务器认证。 5. 运行Kafka:重启Kafka服务,使其加载新增的SSL配置,并开始使用CA证书进行安全的数据传输。 总结来说,Kafka使用CA证书可以提供数据通信的安全性,确保数据的机密性和可靠性。通过生成和颁发CA证书,并将其安装到Kafka服务器上,再配置相关的SSL参数,就可以在Kafka中实现对CA证书的使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值