证书体系
- 服务器要准备的
- 生成密钥对
- 将公钥发送给ca, 由ca签发证书
- 将ca签发的证书和非对称加密的私钥部署到当前的web服务器
- 通信流程
- 客户端连接服务器, 通过一个域名
- 服务器收到了客户端的请求
服务器将CA签发的证书发送给浏览器(客户端) - 客户端拿到了服务器的公钥证书, 读这个公钥 证书
验证域名
有效期
ca签发机构
服务器的公钥 - 客户会生成一个随机数 (作为对称加密的秘钥来使用的)
使用服务器的公钥就这个随机数进行加密
将这个加密之后 秘钥发送给服务器 - 服务器对收到的密文解密
使用服务器的是要解密, 得到对称加密的秘钥 - 数据的传输
使用对称加密的方式对数据进行加密
X.509证书体系
X.509是公钥基础设施(PKI)的标准格式。X.509证书就是基于国际电信联盟(ITU)制定的X.509标准的数字证书。X.509证书主要用于识别互联网通信和计算机网络中的身份,保护数据传输安全。X.509证书无处不在,比如我们每天使用的网站、移动应用程序、电子文档以及连接的设备等都有它的身影。
X.509证书的结构优势在于它是由公钥和私钥组成的密钥对而构建的。公钥和私钥能够用于加密和解密信息,验证发送者的身份和确保消息本身的安全性。基于X.509的PKI最常见的用例是使用SSL证书让网站与用户之间实现HTTPS安全浏览。X.509协议同样也适用于应用程序安全的代码签名、数字签名和其他重要的互联网协议。
X.509工作原理
X.509标准基于一种被称为抽象语法表示法 (ASN.1)的接口描述语言,这种接口描述语言定义了可以以跨平台方式序列化和反序列化的数据结构。利用ASN,X.509证书格式可以使用公钥和私钥来加密和解密信息。
X.509结构
X.509证书应用
许多Internet协议都依赖于X.509,另外还有许多应用程序都在使用PKI技术,包括Web服务器安全、数字签名、文档签名以及数字身份。
- TLS/SSL证书——确保Web服务器的安全
- 数字签名和文档签名
- 代码签名
- 电子邮件证书
- SSH密钥
- 数字身份
如何获取X.509证书
部署X.509证书的关键是找到一个受信任的证书颁发机构(CA)或代理商,让它们来颁发证书,并提高与私钥相关的公钥。如果没有受信任的CA,发件人就不知道他们实际上使用的公钥到底是与收件人私钥相关联的正确公钥,还是与意图拦截敏感信息的恶意行为者相关联的公钥。