理解证书和证书链

已于 2023-04-28 14:03:22 修改
阅读量3w 收藏 84
点赞数 11
文章标签: ssl https 网络协议
于 2018-05-30 10:36:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junwua/article/details/80506399
版权

 

目录

一、证书和证书链

4. 1.拆封证书

5..证书链的验证

一、证书和证书链

    最近一直在研究的东东,这东西说到底,也是依赖于一个前提

ROOT 证书,所以说很多安全说最终也是个伪命题;只是搞理论的人喜欢

把东西搞复杂,乱扯概念,不讲本质。

1.  简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,

保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。

2. 除了end-user之外,证书被分为root Certificates和intermediates Certificates。

相应地,CA也分了两种类型:root CAs 和intermediates CAs。

首先,CA的组织结构是一个树结构,一个root CAs下面包含多个intermediates CAs,

而intermediates又可以包含多个intermediates CAs。root CAs 和 intermediates CAs

都可以颁发证书给用户,颁发的证书分别是rootCertificates和intermediates Certificates,

最终用户用来认证公钥的证书则被称为end-user Certificates。

3. 我们使用end-user certificates来确保加密传输数据的公钥(public key)不被篡改,

而又如何确保end-user certificates的合法性呢?这个认证过程跟公钥的认证过程类似,

首先获取颁布end-user certificatesCA的证书,然后验证end-user certificatessignature

一般来说,root CAs不会直接颁布end-user certificates的,而是授权给多个二级CA,而二级CA

又可以授权给多个三级CA,这些中间的CA就是intermediates CAs,它们才会颁布end-user certificates

4. 1.拆封证书

    所谓证书的拆封,是验证发行者CA的公钥能否正确解开客户实体证书中的“发行者的数字签名”。

两个证书在交换传递之后,要进行拆封,看是否能够拆封。一个证书或证书链的拆封操作,是为了

从中获得一个公钥。可示为X1p?X1<<X2>>,这为一个中缀操作,其左操作数为一个认证机构的公钥,

右操作数则为该认证机构所颁发的一个证书。如果能正确解开,输出结果为用户的公钥

    从证书内容列表中可以看出,证书结构的最后内容是认证机构CA的数字签名,即一个可信任的CA。已经在证书上用自己的私钥做了签名。如果用该CA的公钥就可以拆封一个用户实体的证书,那么,

这个签名被验证是正确的。因为它证明了这个证书是由权威的、可信任的认证机构所签发。因此,

这个实体证书是真实可信的。

5..证书链的验证

    所谓证书链的验证,是想通过证书链追溯到可信赖的CA根(ROOT。换句话说,要验证签发用户实体证书的CA是否是权威可信的CA,如CFCA。证书链验证的要求是,路径中每个证书从最终实体到根证书

都是有效的,并且每个证书都要正确地对应发行该证书的权威可信任性CA。操作表达式为 Ap?A<<B>>B<<C>>,

指出该操作使用A的公钥,从B的证书中获得B的公钥Bp,然后再通过 Bp来解封C的证书。操作的最终结果

得到了C的公钥Cp。这就是一个证书链的认证拆封过程。

    (1)证书链的定义。证书链也称认证链,它是最终实体到根证书的一系列证书组成,这个证书链的处理过程是所有根的前辈指向最开始的根证书,即子辈连向父辈。如图1所示。

  (2)从用户实体证书到ROOT CA的证书链确认,其具体的做法如下页图2所示。

    从以上对比中可以看出:用户实体证书中的AuthorityKey Identifier扩展项CertIssuer,即证书签发者的甄别名,应当与CA证书中签发此证书的CA名称相匹配,如图中箭头所指。即CA证书中的Subject Name

是用户实体证书中Issuer Name父名,对上级CA来说又成为子名,CA证书中Issuer Name上一级CA的名字,成为可信任的链状结构。这样通过各级实体证书的验证,逐渐上溯到链的终止点——可信任的根CA

如CFCA。

junwua
关注
  • 11
    点赞
  • 84
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
最新淘宝客多多返利7.4版程序破解版免证书安装
07-22
2、增加淘宝订单商品成交价显示,让客户更理解为什么会返的少了。 3、增加注册时间限制,修复注册名首字母不允许大写的错误 4、增加淘宝商城tmall无返利的商品补贴机制。 5、优化list页面cid判断。 6、优化敏感词...
证书的终极版
weixin_39161141的博客
04-25 2392
这几天学习了证书,顺便分享了出来,包括证书组成,验证,证书申请,ssl协议等
证书简介
Dancen的专栏
10-26 9098
说明:除非特别指明,本文所述之证书,特指X.509 V3证书。 一. 什么是证书? 当客户端发起https请求时,web服务端会返回https证书,客户端将对证书进行验证,验证通过之后客户端和服务端之间才能继续进行通信。 严格来说,web服务端所返回的https证书不是一个单一的证书,而是一组有序的证书,称为证书证书由终端证书开始,然后是签署颁发该终端证书的中间CA证书,再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个,一直接下去,在证书的末端,是根证书
RSA证书验证
最新发布
一个认真摸鱼的商用密码从业人员
03-20 1500
到这一步基本可以说明,证书验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书验证通过。
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1240
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
数字签名,数字证书证书原理
小强快跑~~
01-17 840
来源:数字签名,数字证书证书原理(图文详解)_Ruby丶彬的博客-CSDN博客_证书验证原理 数字签名,数字证书,加密简述 数字签名:谈及数字签名,就如小时候老师叫把卷子或者作业带回去给家长签字。只不过数字签名非物理用笔签名,是通过计算机电子签名,这过程就涉及身份认证和信息加密。 例如:卷子的成绩考个0分等信息是不希望被其他人知道的就需要加密(信息加密);家长对卷子签字,需要对卷子作实名认证,证实确实是自己孩子而非他人的卷子(身份认证)。 数字证书:数字证书是用来认证公钥持有者身份合法性的电子文档
理解证书证书(三)
求变,从思想开始
05-30 6209
二、证书的内容及用途  对应结构体  X509_CINF    CFCA所发放的证书均遵循X.509 V3标准,其基本格式及其用途如下:    1.Certificate Format Version    证书版本号,用来指定证书格式用的X.509版本号,用于目录查询。    2.Certificate Serial Number    证书序列号,证书颁发者指定证书唯一序列号, 以标识CA发出...
理解证书证书(二)
求变,从思想开始
05-30 4808
3.序列号验证    序列号的验证是指检查实体证书中的签名实体序列号是否与签发者证书的序列号相一致,验证证书的真伪。验证操作过程是:用户实体证书中的AuthorityKey Identifier扩展项Cert Serial Number,即签发证书的序列号,检查CA证书中的Certificate Serial Number 证书序列号,二者应该相一致,否则证书不是可信任的认证机构CA所签发。   ...
什么是证书
u011893782的博客
06-04 5479
证书是区块么?
证书是什么
m0_57236802的博客
08-16 469
证书,也称为证书路径或证书层次,是由多个数字证书组成的序列,这些数字证书之间存在一个明确的父子关系。证书通常起始于一个端点证书,然后通过一个或多个中间证书,最终连接到一个根证书。端点证书由一个中间 CA 签发,而该中间 CA 的证书可能由另一个中间 CA 或根 CA 签发。根证书颁发机构是广泛受信任的,因此,它们的证书被默认视为可信的。通过这个验证过程,客户端可以确保与其通信的服务器是合法的,并且它所收到的证书确实是由受信任的 CA 颁发的。:这是条的开始,通常代表了具体的服务器或个体。
关于证书的一点认知
hai330的博客
03-02 1062
顾名思义,证书是由一串数字证书接而成,为了弄清楚这个概念,先看看什么是数字证书。 一、数字证书的基础知识 数字证书是用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。数字证书由 CA(Certifacate Authority) 负责签发,关键内容包括 颁发s者、证书有效期、使用者组织、使用者公钥 等信息。数字证书涉及到一个名为 PKI(Public Key Infrastructure) 的规范体系,包含了数字证书格式定义、密钥生命周期管理、数字签名及验证等多项技术说明,不在这篇笔记中
什么是证书
热门推荐
毛毛飞舞
03-10 2万+
证书 & CA 证书 首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (also known as a digital certificate or identity certificate) is an electronic document used to prove ownership of
secret-ninja:包含有用接和信息的 Markdown 文件集合
07-01
秘密忍者 一组 Markdown 文件,其中包含与 Web 开发相关的有用接和信息,重点关注 php。 杂项 安全证书 SSL 握手的基础知识 域名系统 权威与递归 DNS 服务器 - 硬盘 随机与顺序 IO 了解硬盘工作 Http 标头状态 HTTP 缓存 通用数据库 完整理解sql的10个简单步骤http://tech.pro/tutorial/1555/10-easy-steps-to-a-complete-understanding-of-sql 虚拟化 Ubuntu 中的内存高效 VM https://coderwall.com/p/a56j3w 前端性能 http://csswizardry.com/2013/01/front-end-performance-for-web-designers-and-front-end-developers/ Ubuntu
验证证书验证证书
01-22
验证证书 检查证书是不是在证书内的证书下发的。
ssl-tester:专为帮助对证书进行故障排除而设计的小型Go应用
05-06
一个小型Go应用,旨在帮助解决证书问题。 提供了一个详细的用例,以促使创建此代码。 我强烈建议您阅读。 要求 执行(如果要修改证书的路径,则需要运行: go build ) 有效的TLS密钥 sudo(或root用户访问权限...
证书管理系统.zip
01-21
CRM系统有助于企业更好地理解客户需求,提高客户满意度和保留率。 医院管理系统: 用于管理医院或医疗机构的患者信息、医生排班、药品库存等。这种系统可以提高医疗服务的质量和效率。 财务管理系统: 用于记录和...
blockchain_based_certificates:使用基于以太坊的区块基础设施发行和验证数字证书
05-16
实施参考思路: 项目目标: 通过以上接,我们遇到了基于区块的数字证书的发行和验证的想法。本项目的目的是通过实现上述想法来进行以太坊区块的开发。此实现的目的: 我们正在将这种实现方式用于我们的研究生...
六、数字证书证书HTTPS
卓越无关环境,保持空杯心态——靡不有初,鲜克有终
10-24 1010
章节系列目录:点击跳转 文章目录数字证书为什么要使用数字证书认证中心证书HTTPS 数字证书   上一篇说过,数字签名并不能防止中间人攻击,这下就要看数字证书了。   数字证书是一个由可信的第三方发出的,用来证明公钥拥有者的信息以公钥的电子文件。 为什么要使用数字证书   我们来总结一下前几篇的内容:   A 想要把一个带数字签名的文件传递给 B 。于是 A生成了公钥和私钥,用私钥签署了文件(数字签名)。然后把公钥上传到一个公共服务器上。如果一切顺利,那 B去下载这个公钥,然后就可以验证签名(公钥解密)
证书-Digital Certificates
lihei12345的专栏
05-06 6226
基础知识 证书 CA 证书 CA Signing Verification 证书 实例 证书 CA组织 end-user certificates intermediates certificates root certificates 其他基础知识在介绍证书之前,需要首先了解一下非对称加密以及电子证书相关的基础概念。关于这部分,我也一直有些困惑,直到看了阮一峰老师的博客,才对证书有个比
java使用证书验证证书
06-06
在Java中,可以使用javax.net.ssl包中的SSLContext和TrustManager来验证证书。下面是一个简单的示例: ``` import java.io.FileInputStream; import java.security.KeyStore; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManager; import javax.net.ssl.TrustManagerFactory; import javax.net.ssl.X509TrustManager; public class CertificateVerifier { public static void main(String[] args) throws Exception { String keystorePath = "path/to/keystore"; String keystorePassword = "keystorePassword"; String truststorePath = "path/to/truststore"; String truststorePassword = "truststorePassword"; // Load keystore KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType()); keystore.load(new FileInputStream(keystorePath), keystorePassword.toCharArray()); // Load truststore KeyStore truststore = KeyStore.getInstance(KeyStore.getDefaultType()); truststore.load(new FileInputStream(truststorePath), truststorePassword.toCharArray()); // Create SSL context TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tmf.init(truststore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, tmf.getTrustManagers(), null); // Create trust manager X509TrustManager trustManager = (X509TrustManager) tmf.getTrustManagers()[0]; // Verify certificate chain X509Certificate[] chain = (X509Certificate[]) keystore.getCertificateChain("alias"); trustManager.checkServerTrusted(chain, "RSA"); } } ``` 在上面的示例中,我们首先加载了keystore和truststore,然后使用TrustManagerFactory将truststore初始化为信任管理器,并将其传递给SSLContext。然后,我们从trustManager获取X509TrustManager对象,并使用它来验证证书。 请注意,此代码示例仅用于演示目的。在实际使用中,您需要使用自己的keystore和truststore,并使用正确的alias和密码。 希望这可以帮助您理解如何在Java中验证证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值