HTTPS证书

最新推荐文章于 2022-09-16 10:45:42 发布
最新推荐文章于 2022-09-16 10:45:42 发布
阅读量536 收藏 6
点赞数 1
分类专栏: 技术 文章标签: HTTPS HTTPS证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shasharoman/article/details/79577784
版权

HTTPS证书

网站要升级到HTTPS,必不可少的就是HTTPS证书,其作为各种信息的承载体,是证明网站可信的重要凭证,本文的目的在于帮助理解HTTPS证书作为可信凭证的实现原理。

HTTPS概述

HTTPS即HTTP+TLS,在HTTP与TCP之间加入一个加密层,中间传输节点在不知道密钥的前提下,难以破解双方传输的内容。这个加密层协议称为SSL(Secure Sockets Layer)或TLS(Transport Layer Security),TLS是SSL标准化过程中,升级到某个版本后顺便改了个名字。

非对称加密算法

简要描述非对称算法的特点,便于理解后面涉及的知识。

  • 非对称加密算法生成一对密钥A和B,密钥A加密的内容可用密钥B解密,反之亦然
  • 根据用途不同,公开给他人的称为公钥,自己持有的称为私钥
  • 用密钥对传输内容签名,使用公钥可以确认内容完整未被篡改
// 用privateKey对内容content签名,通过publicKey验证
sign = encrypt(MD5(content), privateKey);
success = decrypt(sign, publicKey) === MD5(content);

证书的可信度

TLS协议握手阶段,客户端依赖网站服务器的公钥发送加密消息,以确保只有拥有私钥的网站服务器才能解密。证书是公钥的载体,因此至关重要的就是确保客户端收到的证书是服务器所提供的,保证流量不被窃听的关键即解决证书可信度问题。

客户端不能预先知道所有的网站对应的证书,必须借助其它方式判断证书的确是网站提供的,TLS协议判断证书可信度主要借助信任链的传播。可用现实生活中的担保机制帮助理解:甲相信张三,张三为李四提供担保,则甲认为李四可信,同时李四为王五提供担保,则甲认为王五也可信……

上述担保例子的人物对应到计算机名词,甲指客户端,张三和李四是证书颁发机构,王五是你所访问网站提供的证书,其中张三是根证书颁发机构,李四是中级证书颁发机构。客户端(甲)认为网站(王五)可信的充分条件如下:

  • 客户端(甲)信任根证书颁发机构(张三)
  • 根证书颁发机构(张三)信任中级证书颁发机构(李四)
  • 中级证书颁发机构(李四)信任网站(王五)

可借助非对称加密算法的特点满足上述三个条件,每个证书颁发机构与网站,都各自拥有一对密钥,其中私钥只有自己知道,公钥包含在公开的证书中。

  • 客户端通过内置根证书颁发机构的证书,表明其信任该根证书颁发机构
  • 根证书颁发机构使用自己的私钥为中级证书颁发机构的证书签名(签名包含在中级证书颁发机构的证书中),表明信任关系
  • 中级证书颁发机构同样使用自己的私钥为网站的证书签名(签名包含在网站的证书中),表明信任关系

证明信任关系依赖非对称加密算法的签名机制,用私钥对内容进行签名可用其对应的公钥验证,若用公钥验证签名成功,表明信息可信,否则表明信息被篡改。

最终网站服务需要做的就是给客户端提供自己的证书(域名,公钥,信任关系-中级证书颁发机构对证书内容的签名)、中级证书颁发机构的证书(公钥,信任关系-根证书颁发机构对证书的签名),客户端再结合自己内置的根证书颁发机构证书,即可确认网站提供的证书是可信的。

网站证书中还包含一些其他信息,如域名,组织信息,中级证书颁发机构信息等,其中域名是必不可少的一个信息,用来确认证书的可信范围,只有与网站域名对应的证书才是可信的。

证书的撤销

已经被证书颁发机构表明可信的证书,在某些情况下可能不再值得信任,例如证书颁发机构的私钥泄露,导致任何人都能为证书签名,从而伪造信任关系,这时需要证书撤销机制让客户端不再相信该证书。依赖该证书的其他证书因为信任链被破坏,也会被认为不可信。

根证书颁发机构的证书出现问题,客户端应及时将其从内置可信列表移除,所有依赖它的中级证书颁发机构,网站证书都将失效。

证书颁发机构验证过的证书出现问题,颁发机构有责任撤销该证书,实现方式有两种:

  • 证书撤销名单CRL(Certificate Revocation List),证书颁发机构需要维护一个撤销证书的序列号名单,想验证证书的人下载该名单,若出现在名单中,说明证书已经被撤销,不再可信
  • 在线证书状态协议OCSP(Online Certificate Status Protocol),证书颁发机构提供一种实时检查证书状态的机制,即客户端可实时询问证书颁发机构其所信任的某序列号对应的证书是否有效

以上两种方式依赖客户端的实现,但使用这两种方式所需要的信息应在证书颁发机构的证书中提供。

证书颁发机构

证书颁发机构应该是得到大家一致认可的权威机构,有责任核查认证对象所提供的信息,只有信息准确无误才能为其提供信任关系担保。如果某些证书颁发机构存在失责,为不可信的人提供了信任担保,让其得以欺骗他人,应该对证书颁发机构进行惩罚。

博客原文

shasharoman
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
itisscg.zip
09-11
这是一个用.NET开发的证书生成工具,图形界面。这个工具小巧玲珑,只有200多K,需要.NET4.6的支持。 生成证书含有subject Alternative Name。 自己写的网站由于公司内网需要升级成HTTPS,利用此工具制作了证书,可在谷歌,IE,QQ浏览器上安全验证通过,火狐浏览器没有通过。
使用itisscg架设局域网https网站自签发证书
ericwuhk的专栏
09-11 1751
一.使用letsencrypt免费证书,前提是你得有域名 https://letsencrypt.osfipin.com/ 二.使用itisscg.exe 1.下载 官方网址:http://www.itiverba.com/en/software/itisscg.php。 CSDN下载地址:https://download.csdn.net/download/ericwuhk/12837650 2.生成根证书 以管理员模式启动itisscg.exe,填入配置信息,并生成根证书.
局域网内多台机器使用自签发证书架设https网站一:原理
左直拳的马桶_日用桶
08-04 7527
关键词: 数字证书 自签发数字证书证书 网站证书 makecert.exe itisscg.exe 这个证书真麻烦啊,搞死了。不过,弄清楚以后,回头看,也不是那么难理解。 我先来梳理一下: https与数字证书联系在一起。所谓的https,就是采用了SSL协议的http。SSL协议负责加密通信,采用对称加密。但采用哪种加密方法,密钥如何,...
局域网内多台机器使用自签发证书架设https网站二:实施
左直拳的马桶_日用桶
08-05 1万+
前文再续,书接上一回。上一篇文章说了局域网内多台机器使用自签发证书架设https网站的原理,现在接着介绍实现方法和步骤: 1、以一台机器作为根证书服务器(其实就是CA了),负责生成根证书 2、所有网站的证书,都由这张根证书来签发 3、访问所有网站的客户端,都导入这张根证书到自己的“受信任的根证书颁发机构”里 一、生成根证书 生成根证书应该有许多种: 1、如果操作系统是server,...
HTTPS证书到期更换
一起coding,一起嗨。
04-18 1万+
一、前期准备 1、梳理证书到期域名数量以及部署方式; 如 到期域名 部署方式 备注 www.test1.com nginx 官网 www.test2.com 阿里云CDN 静态资源加速 2、评估更换流程及时间; 申请新的SSL证书,吊销马上到期的证书(20分钟); 下载新的证书(2分钟); 修改配置(10分钟); www.test1.com配置如下: server { listen 443 ssl;
自动化脚本一键生成Nginx https证书证书格式为pem
11-12
生成HTTPS证书的过程通常包括以下步骤: 1. **生成RSA密钥对**:使用OpenSSL工具,我们可以运行`openssl genrsa -out server.key 2048`来生成一个2048位的RSA私钥。这个私钥应妥善保管,不要泄露。 2. **创建CSR...
https证书文件
01-27
HTTPS证书,全称为HyperText Transfer Protocol Secure Certificate,是网络安全领域中的关键组件,主要用来确保网站与用户之间的通信安全。在互联网上,数据传输的安全性至关重要,尤其是在涉及敏感信息如密码、...
nginx的https证书
07-25
Nginx作为一款高性能的HTTP和反向代理服务器,支持HTTPS证书的配置,为网站提供安全的HTTPS服务。本篇文章将深入探讨Nginx配置HTTPS证书的相关知识点。 首先,了解HTTPS的基本原理。HTTPS是在HTTP的基础上加入了SSL...
https证书
08-13
标题中的“HTTPS证书”指的是在互联网上用于加密通信和身份验证的一种安全协议。HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,其中S代表Secure,即安全。它通过使用SSL/TLS(Secure Sockets Layer...
win-acme 网站https 证书免费申请工具
08-15
**win-acme 网站HTTPS证书免费申请工具** win-acme是一款专为Windows环境设计的免费工具,它使得在IIS(Internet Information Services)服务器上配置HTTPS证书变得轻松快捷。该工具支持ACME(Automatic ...
itisscg 证书生成工具
12-12
Self Signed Certificate Generator - Itiverba 证书自签名生成工具
如何在浏览器中下载网站的https证书
oscar999的专栏
02-05 1万+
Chrome的证书管理其实是调用IE的那一套, 所以两者的界面是一样的。 在IE 11 中打开证书管理的方式: 点击最右边的齿轮状按钮 在弹出菜单选择 Internet Options 进入 Content 标签页 点击 “Certificates” 按钮 Microsoft Edge 打开证书管理的方式 1.查看和导出特定网站的证书。 点击地址栏前面的锁 点击 “连接安全” 点击显示证书的按钮 4.进入“详细信息”的标签页, 点击“复制到文件…”按钮可以导出该证
免费申请下载SSL证书证书的安装部署教程,网站服务由网站由http协议升级为https协议
成长,编程,生活
01-17 4113
将http访问转换成https,最佳实践-CentOS系统Tomcat 8.5部署SSL证书
https免费证书获取方式
Masterheaven的博客
01-10 4544
1、前往来此加密官网申请证书https://letsencrypt.osfipin.com/ 2、申请证书, 3、验证证书: dns验证:前往所在云dns解析服务 https认证:使用nginx认证 4、下载证书后,切记不能用迅雷下载,要用浏览器自带下载,否则会造成文件丢失 ......
https加中级证书和根证书
CRUD搬砖人
12-07 412
https加中级证书和根证书
【下载https协议需要的cer证书
热门推荐
HilaryHe
07-27 1万+
一:https简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。ht
Https证书 升级 更新 方法 步骤
skipple11的博客
04-25 3330
Https证书 升级 更新 方法 步骤 Https证书 Tomcat版本更新方法 **1.**申请新的https 证书。例如:阿里云免费申请,下载证书,找到里面的Tomcat版本(其它版本方式类似),如图 解压,得到两个文件,一个是pfx格式文件,一个是密码。如图 2.拷贝Pfx证书文件到Java安装目录的bin目录下,并运行转换命令: keytool -importkeystore -src...
HTTPS 签名证书自动生成、检查、更新
weixin_39732758的博客
11-26 1348
一、背景 为何使用https,具体不做介绍,相比大家都很清楚。使用SSL 证书有免费的也有收费的。这里使用的由Let’s Encrypt SSL 提供的完全免费的certificates。本文将使用Certbot工具进行证书的一系列操作。 什么是Certbot? Certbot是一个免费的开源软件工具,可用于在手动管理的网站上自动使用Let's Encrypt证书来启用HTTPS。 二、前置条件 1、有属于自己的域名 Encrypt只为域名提供证书,比如"*.com"、“*...
HTTPS证书
weixin_43975162的博客
09-16 6674
本文为我在学习HTTPS加密传输与证书在其中发挥的作用时,参考许多文章而写出的总结。
tomcat https 证书
最新发布
07-28
配置Tomcat的HTTPS证书需要以下步骤: 1. 获得证书证书需要通过权威的CA机构付费获得,只有这样的证书才能被互联网承认。将证书放在服务器上。 2. 导出证书:可以使用keytool命令将服务器证书导出为一个单独的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值