TLS 握手过程中客户端是如何验证服务器身份

已于 2024-06-07 10:36:31 修改
阅读量147 收藏
点赞数 2
文章标签: 服务器 运维
于 2024-06-06 21:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangchen79/article/details/139509770
版权

之前我错误认为,证书中的公钥信息用于验证服务器身份。殊不知公钥仅仅是用来加密,无法提供任何身份信息。经过一些调研,我将了解的信息记录如下:

在 TLS 握手过程中,服务器向客户端发送自己的证书。证书中包含服务器的签名和签名算法。这个签名提供了身份信息。同时,证书中包含的签名是使用签发该证书的 CA 的私钥加密的。签名算法可以是 MD5 或者 SHA256。

客户端收到证书后,遵循以下步骤验证签名:

  1. 使用该签名算法对证书的内容(不包含签名)进行哈希运算,获得一个签名值。
  2. 使用 CA 的公钥对该加密的签名进行解密,获得签名。
  3. 比对这两个签名。如果一致,则服务器身份验证通过。
jiangchen79
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TLS客户端身份验证
danpu0978的博客
04-26 1430
我决定为电子识别方案设计一个原型,因此我研究了如何使用Java / Spring服务器端进行TLS客户端身份验证(即使您不是Java开发人员,也可以继续阅读-大部分文章是Java -不可知)。 为什么要进行TLS客户端身份验证? 因为这是认证拥有证书的用户(例如,在智能卡上)的最标准方法。 当然,智能卡证书不是唯一的应用程序-组织可以向存储在其计算机上的用户颁发内部证书。 关键是要具有比...
SSL/TLS 握手过程
侯仕奇的博客
06-24 1050
SSL/TLS 握手过程客户端服务器之间建立安全连接的过程
客户端 tls解密_TLS客户端身份验证
danpu0978的博客
05-20 1297
客户端 tls解密 我决定为电子识别方案设计一个原型,因此我研究了如何使用Java / Spring服务器端进行TLS客户端身份验证(即使您不是Java开发人员,也可以继续阅读-大部分文章是Java -不可知)。 为什么要进行TLS客户端身份验证? 因为这是认证拥有证书的用户(例如,在智能卡上)的最标准方法。 当然,智能卡证书并不是唯一的应用程序–组织可以向存储在其计算机上的用户颁发内部证...
用Wireshark看见TLS握手过程
大草的博客
05-06 2770
第一部分:介绍TLS握手协议内容。(非常粗略的介绍,详见《图解密码技术》-- 结城浩 – 第14章 SSL/TLS 为了更安全的通信) 第二部分:安装wireshark,使用其进行抓数据包,为后面TLS分析做准备。 第三步:详细查看TLS握手的每一步。最后使用一个示例验证握手过程的掌握情况。
数字签名、服务器客户端认证过程TLS握手
qq_43598865的博客
09-06 1378
开始正文之前先说一下相关概念: 数字签名 数字签名就是“非对称加密+摘要算法”,其目的不是为了加密,而是用来防止他人篡改数据。 CA Certificate Authority,即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易受信任的第三方,承担公钥体系公钥的合法性检验的责任。 摘要算法 即是hash算法,采用hash函数生成证书元数据的摘要。摘要算法不是用来加密的,其输出长度固定,相当于计算数据的指纹,主要用来做数据校验,验证数据的完整性和正确性。常见的算法有CR
TLS协议握手过程简介
jh035512的博客
11-15 538
至此,一共出现了三个随机数:1-3步骤都会生成随机数(pre-master key),有个这三个随机数后,客户端服务器都会同时有三个随机数,接着双方就用商定的加密方法,各自生成本次会话所用的同一把“会话密钥”客户端收到服务器的证书后,会先去检测收到的服务器证书,是不是可信任的证书。服务器收到客户端的第三个随机数后,计算出本次会话所用的会话密钥。除此之外,服务器还会需要确定客户端身份,就会包含一份请求(要求客户端提供客户端证书)服务器收到客户端请求后,向客户端发出回应,服务器的回应内容如下。
TLS1.2握手过程(双方都进行身份认证)
sweet_Mary的博客
07-31 1154
该证书为Server端向Client端提供的Server证书,mtlstls主要的区别即为“m(mutual)”,mtls需要双方都提供证书,而tls只需要server证书提供给client(Server证书含有Server的公钥,tls:将Server证书交给Client,Client将自己想好的会话秘钥用Server的公钥进行加密,再传给Server,Server再用公钥进行解密,这样双方都得到了会话秘钥)Server端让Client端发来Client的证书。根据更改的协议发送示例进行测试。
TLS握手过程及wireshark抓包分析
weixin_46775266的博客
08-05 3389
TLS握手过程及wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
这么理解TLS协议,以及TLS协议的握手过程
吴就业
05-29 4384
如今HTTPS已被广泛使用,但作为程序员的我们,真的理解这个'S'了吗?如果还没有,这篇入门级介绍或许能帮到你。在TLS(更早期的版本是SSL)出现之前,很多公司为了保证自家产品客户端与服务端信令交互数据安全,或通过基于TCP协议,自定义支持加解密的二进制应用协议(用于APP),或通过加密HTTP协议请求&响应的Body以确保数据安全。无论哪种,通常都是采用对称加...
SMTP客户端未通过身份验证等多种错误解决方案分享
09-02
错误一:SMTP 服务器要求安全连接或客户端未通过身份验证(5.7.1 Client was not authenticated) 这个错误通常意味着SMTP服务器需要一个安全的连接(例如,通过SSL或TLS加密)或者客户端提供的凭证无效。解决方法是...
HTTPSTLS和TCP可以同时握手吗 607 - 616
05-15
那么,面试官说的"HTTPSTLS握手过程可以同时进行三次握手"是否正确呢?这个场景是可能发生的,但是需要在特定的条件下才可能发生。如果没有说任何前提条件,说这句话就是在耍流氓。 那么,什么条件下,这个场景...
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS
09-11
在“mqtttls”上下文客户端不仅需要遵循MQTT协议,还需要支持TLS握手过程,以便在建立连接时验证服务器身份,并创建一个加密的通道进行通信。 在描述提到的“能够订阅tls加密过的数据和加密推送数据”,这...
TLS单、双向认证资料
11-27
- **双向认证**:服务器客户端都需验证对方身份过程。 - **TLS抓包**:用Wireshark或其他工具捕获和分析TLS网络流量。 - **TLS客户端服务器**:在TLS通信扮演不同角色的实体,客户端发起连接请求,服务器...
基于SSL/TLS协议的FTP客户端服务器
06-15
在Java,实现基于SSL/TLS的FTP客户端需要创建`SSLSocket`连接到服务器,并进行必要的握手过程服务器端则需创建`SSLServerSocket`来监听连接,并处理客户端的认证请求。整个过程涉及SSL/TLS的初始化、证书管理、...
挖矿木马攻破了服务器
最新发布
中年程序员一枚的博客
08-09 1152
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务。
linux 目录详解
zhanglinlang的专栏
08-08 551
名称 作用 / 根目录系统的起点,跟目录下只放目录不要直接放文件 /bin 存放所有用户都可以使用的Linux基本操作命令(如ls、cp、mkdir等)。这些命令通常是用于系统管理和日常操作的常用工具 /sbin 存放系统管理相关的二进制文件,这些文件通常是系统管理员使用的命令,如fdisk、shutdown、mount等。与/bin目录不同的是,/sbin目录的命令普通用户通常只能查看而不能执行。 /boot 存放引导相关文件,如Linux内核文件(vmlinuz)和引导装载
服务器硬件及RAID配置
2401_83958584的博客
08-08 327
为是多个硬盘组合成一个,故可并行写操作,写入速度提高,但此方式硬盘数据没有冗余,最少由三个硬盘组成,它将数据分散存储于阵列的每个硬盘,并且还伴有一。个数据校验位,数据位与校验位通过算法能相互验证,当丢失其的一位时,读操作速度有所提高,写操作理论上与单硬盘速度一样,但由于数据需。,它将两个或多个硬盘组成一个逻辑硬盘,容量是所有硬盘之和,因。,它最少由两个硬盘组成,且两个硬盘上存储的数据均相同,以实现。没有容错,一旦一个物理硬盘损坏,则所有数据均丢失。是先将数据进行镜像操作,然后再对数据进行分组,
Linux磁盘管理与文件系统(二):实用工具和命令、fdisk分区示例
shyuu的博客
08-08 992
Linux磁盘管理与文件结构(二),主要讲解实用工具和命令、fdisk分区示例 本篇我们讲解磁盘工具fdisk、创建文件系统、挂载和卸载文件系统以及配置启动自动挂载。 含一个实验:使用fdisk命令创建分区,有详细步骤。
linux挂载服务器本机的硬盘
qq_43814415的博客
08-08 430
完成以上步骤后,你应该能够看到两个 NVMe 磁盘已经挂载到指定的挂载点。如果在执行过程遇到任何问题,请提供详细的错误信息,我会进一步帮助你排查和解决。文件,确保在系统重启后磁盘仍然挂载。好的,我们可以分别为两个 NVMe 硬盘。,使用相同的步骤创建一个新的分区。
在micropython如何使用tls单向认证(客户端验证服务器),需要导入ussl库吗?
08-06
### 回答1: 在 micropython 使用 tls 单向认证(客户端验证服务器)需要使用 ussl 库。可以在代码使用如下方式导入该库: ``` import ussl ``` 之后,可以使用 ussl.wrap_socket() 函数将网络连接包装成 tls 连接。例如: ``` import socket import ussl s = socket.socket() s.connect(('example.com', 443)) s = ussl.wrap_socket(s, cert_reqs=ussl.CERT_REQUIRED, ca_certs='path/to/ca.pem') ``` 其 cert_reqs 参数用于设置证书验证级别,可以设置为 ussl.CERT_NONE、ussl.CERT_OPTIONAL 或 ussl.CERT_REQUIRED。ca_certs 参数用于指定 CA 证书的路径。 ### 回答2: 在MicroPython使用TLS(Transport Layer Security)单向认证(客户端验证服务器)需要导入ussl(MicroPython SSL)库。 1. 导入ussl库:使用`import ussl`语句导入ussl库,它是MicroPython的标准库,用于提供SSL/TLS安全通信功能。 2. 创建SSL连接:使用`ssl.wrap_socket(socket, server_side=False, certfile=None, keyfile=None, ca_certs=None, cert_reqs=ussl.CERT_REQUIRED)`函数创建一个SSL连接。其,`socket`是已经建立的网络套接字,`server_side`参数指定是否是服务器身份验证,`certfile`参数是服务器证书文件的路径,`keyfile`参数是服务器私钥文件的路径,`ca_certs`参数是服务器根证书的路径,`cert_reqs`参数指定客户端证书验证要求。 3. 连接到服务器:使用`socket.connect((host, port))`函数连接到服务器上的指定主机和端口。 4. 发起TLS握手:使用`socket.do_handshake()`函数发起TLS握手,建立安全连接。 5. 验证服务器证书:通过设置`cert_reqs=ussl.CERT_REQUIRED`和提供`ca_certs`参数,使得在握手过程客户端会要求验证服务器证书。如果验证失败,将会引发`ssl.SSLError`异常。 下面是一个示例代码: ```python import usocket import ussl # 创建套接字 socket = usocket.socket(usocket.AF_INET, usocket.SOCK_STREAM) # 创建SSL连接 ssl_socket = ussl.wrap_socket(socket, server_side=False, cert_reqs=ussl.CERT_REQUIRED, ca_certs="ca_cert.pem") # 连接到服务器 ssl_socket.connect(("example.com", 443)) # 发起TLS握手 ssl_socket.do_handshake() # 验证服务器证书 cert = ssl_socket.getpeercert() # 进行证书验证的操作 # 在这里进行数据的发送和接收 ``` 请注意,在使用MicroPython时,需要将服务器的根证书(ca_cert.pem)和客户端的证书(如果有的话)存储在可访问的文件系统。 ### 回答3: 在MicroPython使用tls单向认证,需要导入`usocket`和`ssl`库。 首先,我们需要创建一个`usocket`对象,用于与服务器建立连接。假设服务器的IP地址为`192.168.0.100`,端口号为`8888`,代码如下: ```python import usocket sock = usocket.socket(usocket.AF_INET, usocket.SOCK_STREAM) sock.connect(('192.168.0.100', 8888)) ``` 然后,我们可以使用`ssl.wrap_socket`函数创建一个TLS连接。此函数需要传入`usocket`对象、服务器的域名(用于验证证书的Common Name字段),以及其他可选参数。代码如下: ```python import ssl tls_sock = ssl.wrap_socket(sock, server_hostname='example.com') ``` 在上述代码,`wrap_socket`函数会自动进行TLS握手过程,并验证服务器的证书。如果服务器的证书验证失败,将会引发`ssl.CertificateError`异常。 接下来,我们可以像使用普通的`usocket`对象一样使用`tls_sock`对象进行通信。例如,发送和接收数据: ```python tls_sock.write(b'Hello, server!') response = tls_sock.read(1024) ``` 最后,使用完毕后,记得关闭TLS连接和`usocket`对象: ```python tls_sock.close() sock.close() ``` 综上所述,要在MicroPython实现TLS单向认证,我们需要导入`usocket`和`ssl`库,并按照上述步骤创建和使用TLS连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值