客户端如何验证服务器SSL证书的有效性?

于 2024-06-22 02:11:39 发布
阅读量833 收藏 6
点赞数 23
分类专栏: 计算机网络 文章标签: ssl 服务器 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/139872808
版权

目录

1. 证书链验证

证书链完整性
证书链通常由服务器证书、中间证书和根证书组成。客户端需要验证从服务器证书到受信任的根证书之间的所有中间证书。每个证书都必须正确地链接到下一个证书,直到到达根证书。

  • 服务器证书:由 CA 签发,包含服务器的公钥、域名等信息。
  • 中间证书:连接服务器证书和根证书的桥梁。通常,服务器会提供一个或多个中间证书。
  • 根证书:由 CA 自签名的证书,客户端的操作系统或浏览器预装了受信任的根证书列表。

信任根证书

  • 客户端必须信任证书链中的根证书。信任列表通常由操作系统或浏览器维护,包含许多受信任的根证书。如果证书链中的根证书不在信任列表中,则验证失败。

2. 证书有效期

起始日期

  • 服务器证书必须在其生效日期之后才能被客户端接受。如果当前日期早于证书的生效日期,则验证失败。

截止日期

  • 服务器证书必须在其截止日期之前才能被客户端接受。如果当前日期晚于证书的截止日期,则验证失败。

3. 证书吊销状态

CRL(证书吊销列表)
CRL 是由 CA 发布的包含所有已吊销证书的列表。客户端可以从 CA 获取 CRL,并检查服务器证书是否在列表中。

  • 步骤
    1. 从证书的 CRL Distribution Points 字段获取 CRL URL。
    2. 下载 CRL 文件。
    3. 检查服务器证书是否在 CRL 中。

OCSP(在线证书状态协议)
OCSP 提供了一种实时检查证书吊销状态的方法。客户端向 OCSP 服务器发送请求,查询证书的吊销状态。

  • 步骤
    1. 从证书的 Authority Information Access 字段获取 OCSP URL。
    2. 向 OCSP 服务器发送请求。
    3. 根据 OCSP 服务器的响应确定证书是否被吊销。

4. 证书的域名匹配

客户端需要验证服务器证书中的域名与访问的服务器域名匹配。这可以通过检查证书的 Common Name (CN) 和 Subject Alternative Name (SAN) 字段来完成。

通配符证书

  • 通配符证书允许多个子域名共享同一个证书。例如,*.example.com 可以匹配 sub.example.comanother.sub.example.com

完全匹配

  • 证书中的 CN 或 SAN 字段的值必须与请求的域名完全匹配。例如,请求 www.example.com 的证书中的 CN 字段必须是 www.example.com

5. 证书的签名验证

签名算法

  • 客户端需要检查证书使用的签名算法是否安全。常见的安全签名算法包括 SHA-256 和 SHA-3。较旧的算法如 SHA-1 已不再被认为是安全的。

签名有效性

  • 客户端使用 CA 的公钥验证服务器证书的签名。如果签名验证失败,则证书无效。

6. 证书的公钥用途

证书中包含 Key UsageExtended Key Usage 扩展字段,指定了公钥的用途。客户端需要确保这些用途与当前的使用场景匹配。

常见用途

  • 数字签名:用于验证数字签名。
  • 密钥加密:用于加密对称密钥。
  • 服务器身份验证:用于验证服务器身份。
冯富江的技术博客
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
验证证书有效性(cryptoapi)
hs_fish的专栏
08-02 1631
使用CertGetIssuerCertificateFromStore函数来验证证书有效性,其函数声明如下:PCCERT_CONTEXT WINAPI CertGetIssuerCertificateFromStore( HCERTSTORE <a class="synParam" style="BACKGROUND: none transparent scroll repeat 0% 0
SSL证书验证怎么做?有几种方式?
m0_72559519的博客
07-28 605
方式验证通过即可签发,但是不同的证书平台签发速度不太一样。选择服务器文件验证方式的用户,在使用前必须要有服务器的管理权限,如果没有管理权限,无法上传文件,那么证书是无法签发的,只能更换其他验证方式。中科三方具有比较健全的证书管理机制和良好的服务意识,提供一站式SSL证书服务,可快速实现SSL证书的签发、验证和安装,第一时间解决用户在使用SSL证书过程中遇到的问题,随时随地保障用户的网站和数据安全。一张SSL证书的获取,需要经历不少环节,其中比较重要的一点就是,SSL证书的签发需要验证通过后才能签发。....
如何保证 HTTPS 证书有效性
itxiangcai的博客
03-04 540
百川云网站监测不仅支持监测HTTPS站点,更能全面检测证书合规性、过期情况,确保网站安全运行。采用百川云网站监测,及时了解证书状态,防范潜在风险。
服务器客户端证书,客户端如何验证HTTPS服务端证书信息
weixin_29200485的博客
07-29 1888
通过一个例子说明客户端如何验证HTTPS服务端的证书信息。类型浏览器如何验证WEB服务器证书信息。生成服务器证书,以及CA证书# generate ca certificate$ openssl genrsa -out ca-key.pem 2048$ openssl req -new -x509 -days 365 -key ca-key.pem -out ca-cert.pem -subj...
证书有效性验证、根证书
小强快跑~~
03-18 4063
来源:证书有效性验证、根证书 - 程序员大本营 一、 数字证书有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信息,用户公钥,以及CA签名 那么我们要验证这张证书...
【转载】证书有效性管理和验证—CRL及OCSP的异曲同工之妙
记事本
08-19 713
怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容:· 证书完整性验证。即确认这个证书没有被...
客户端证书身份验证
qq_44539748的博客
07-10 722
在上述配置中,我们使用ssl_certificate指令和ssl_certificate_key指令指定服务器证书和私钥文件的路径。通过按照上述步骤配置Nginx,并准备和使用有效的客户端证书和私钥,您可以增强服务器的安全性,只允许通过验证客户端访问服务器资源。客户端证书身份验证是一种安全机制,要求客户端提供有效的证书验证其身份,只有通过验证客户端才能访问服务器资源。首先,您需要准备客户端证书和私钥。确保将your_domain.com替换为您的域名,将文件路径替换为实际的证书和私钥文件路径。
客户端验证 证书解析
最新发布
m0_66993332的博客
05-18 944
关于数字证书和CA机构的一些介绍和个人理解
验证ssl证书(pem格式)
03-09
4. 客户端同样验证服务器证书有效性。 在编程环境中,例如在Node.js中,可以使用`https`模块配置客户端服务器证书: ```javascript const https = require('https'); const options = { key: fs....
android ssl证书验证
11-15
客户端(如Android应用)与服务器建立HTTPS连接时,服务器会发送其SSL证书客户端验证这个证书有效性。 在Android中,SSL证书验证主要涉及到以下几个方面: 1. **默认的信任管理器**:Android系统内置了一...
ssl服务器证书(包含ca证书服务器证书客户端证书
05-19
服务器验证客户端证书后,才会允许其进行通信,这增强了安全性,防止未经授权的设备接入。 至于".crt"文件,它是SSL证书的常见格式,包含了证书的所有信息,包括公钥、发行者信息、有效期等。当你收到一个.crt文件...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
在Serv-U中使用SSL证书增强FTP服务器安全性图文设置方法
09-30
SSL证书是确保FTP服务器客户端之间通信安全的关键,它通过公钥/私钥加密技术,保证数据在传输过程中的隐私和完整性。 创建SSL证书: 在 Serv-U 中,你需要创建一个自定义的SSL证书以替换默认的不安全证书。在...
Bootstrap 按钮(实例 )
2401_84093443的博客
05-04 722
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
使用OpenSSL工具验证证书
Htojk的博客
03-28 1516
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端服务器建立安全连接时,服务器会将证书发送给客户端客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
ssl 客户端证书验证_SSL客户端身份验证:这是信任的问题
cuyi7076的博客
06-23 6364
[编者注:本文介绍了如何为Domino 4.6和4.6.1设置SSL客户机认证。] 互联网上最新的行业流行词是SSL。 但是SSL真正需要提供什么? 安全套接字层(SSL)是一种安全协议,可以: 加密通过网络发送的信息。 验证发送给收件人的邮件是否已被篡改。 验证服务器身份以防止服务器欺骗。 使用SSL 3.0验证客户端身份。 有关这些SSL概念的介绍,请参见H...
一文读懂,SSL证书怎么做验证
qq490801481的博客
04-09 332
服务器文件主要是指用户在填写完信息后,提交过后,SSL证书签发系统会生成一个验证值,用户按照要求建立一个文本文档,然后上传到服务器的指定位置下,证书签发系统在验证通过后就会签发证书。选择服务器文件验证方式的用户,在使用前必须要有服务器的管理权限,如果没有管理权限,无法上传文件,那么证书是无法签发的,只能更换其他验证方式。SSL证书目前已经有越来越多的企业网站开始使用,安装SSL证书后,原有的http协议将会变成安全性更好的https加密协议,这对保护用户的信息安全,保障企业及用户的利益起着重要作用。
c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现
热门推荐
dream_caoyun的博客
02-23 1万+
相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 1、什么是双向认证 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就是说经过网卡传输的字节序列都是明文,那么HTTPS上的s就是双向认证的操作(ssl),实际上就是在http的逻辑上再套一层ssl握手,进程想要发送的字节序列数据经过http传输时再加上一层ssl来让c和s两端先
解释下这个过程:客户端验证服务器SSL 证书是否是由可信的证书颁发机构颁发的,并且证书是否未过期、未被吊销等。这个过程叫做证书验证。如果验证通过,则继续下一步;否则,客户端会拒绝连接
06-10
证书验证SSL 证书验证的一个重要步骤,用于验证服务器SSL 证书是否是由可信的证书颁发机构颁发的,并且证书是否未过期、未被吊销等。证书验证通常包含以下步骤: 1. 客户端获取服务器SSL 证书,并提取证书中的信息,包括证书颁发机构、证书有效期等。 2. 客户端使用自己预置的信任根证书列表或操作系统预置的信任根证书列表,来验证证书颁发机构的可信性。这些信任根证书是由可信的证书颁发机构颁发的,因此客户端可以信任这些证书颁发机构。 3. 如果证书颁发机构是信任根证书颁发机构,则客户端认为该 SSL 证书是可信的,并继续下一步。否则,客户端会查找该证书颁发机构的上级证书颁发机构,并使用上级证书颁发机构的证书验证证书颁发机构的可信性。这个过程可以一直递归下去,直到找到一个可信的证书颁发机构,或者到达信任根证书颁发机构为止。 4. 如果证书颁发机构是可信的,并且证书没有过期、未被吊销等,则客户端认为该 SSL 证书是可信的,并继续下一步。否则,客户端会拒绝连接。 通过以上步骤,客户端可以验证服务器SSL 证书是否可信,并确保 SSL 连接的安全性。如果 SSL 证书不是由可信的证书颁发机构颁发的,或者证书已过期、被吊销等,则客户端会拒绝连接,以保护用户的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值