证书链的基本原理

最新推荐文章于 2024-05-13 17:29:35 发布
最新推荐文章于 2024-05-13 17:29:35 发布
阅读量4.5k 收藏 44
点赞数 7
分类专栏: security 文章标签: 证书链 PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sky8336/article/details/113696551
版权

证书链的基本原理

  • 证书链: 由一串数字证书链接而成

1、数字证书

  • 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。

  • CA(Certifacate Authority) 负责签发,

  • 关键内容: 颁发者证书有效期使用者组织使用者公钥 等信息。

PKI(Public Key Infrastructure) 规范体系,包含:

  • 数字证书格式定义

  • 密钥生命周期管理

  • 数字签名及验证

问题:

  • CA 是如何签发一张证书?

  • 使用者如何验证证书?

数字签名技术: 基于公钥密码技术。

  • 现实世界,签名: 表示承诺,手段是手写签字盖扣印章

  • 数字世界,签名: 表示承诺,手段是二进制

CA 数字签名两个过程:

  • 签发证书(Signing)

  • 验证证书(Verification)
    在这里插入图片描述

数字签名与验证

签发证书的过程
  1. 撰写证书元数据
    • 签发人(Issuer)地址签发时间有效期 等,
    • 证书持有者(Owner)基本信息,比如 DN(DNS Name,即证书生效的域名)Owner 公钥
  2. 使用通用的 Hash 算法(如SHA-256)对证书元数据计算生成 数字摘要
  3. 使用Issuer 的私钥对该数字摘要进行加密,生成一个加密的数字摘要,也就是Issuer的 数字签名
  4. 将数字签名附加到数字证书上,变成一个 签过名的数字证书
  5. 签过名的数字证书Issuer 的公钥,一同发给证书使用者
    (注意,将公钥主动发给使用者是一个形象的说法,只是为了表达使用者最终获取到了 Issuer 的公钥)
验证证书的过程

证书使用者获通过某种途径(如浏览器访问)获取到该数字证书解压后分别获得 证书元数据数字签名
使用同样的Hash算法计算证书元数据数字摘要
使用 Issuer 的公钥 对数字签名进行解密,得到 解密后的数字摘要
对比 2 和 3 两个步骤得到的数字摘要值,如果相同,说明数字证书确实是被Issuer 验证过合法证书,证书中的信息(最主要的是 Owner 的公钥)是可信
上述是对数字证书的签名和验证过程,

利用同样的方法对普通数据数字签名验证

总结“签发证书”与“验证证书”两个过程:

  • Issuer(CA)使用 Issuer 的私钥 对签发的证书进行数字签名

  • 证书使用者使用 Issuser 的公钥 校验证书,通过,说明证书可信。

校验的关键是 Issuer 的公钥,使用者获取不到 Issuer 的私钥,只能获取到 Issuer 的公钥.

问题:

  • 如果 Issuer 是一个坏家伙,谁来证明 Issuer 的身份 是可信的?

这涉及到一个信任链条(证书链)

2、证书链是什么

以百度为例,在浏览器上访问 “www.baidu.com” 域名,地址栏左侧有一个小锁的标志,点击就能查看百度的数字证书,如下图所示(使用的是Edge浏览器)
在这里插入图片描述

百度数字证书
在图片的顶部,我们看到这样一个层次关系:

GlobalSign Root CA -> GlobalSign Organization Validation CA -> baidu.com

这个层次可以抽象为三个级别:

  1. end-user:即 baidu.com,该证书包含百度的公钥,访问者就是使用该公钥将数据加密后再传输给百度,即在 HTTPS 中使用的证书

  2. intermediates:即上文提到的 签发人 Issuer,用来认证公钥持有者身份的证书,负责确认 HTTPS 使用的 end-user 证书确实是来源于百度。这类 intermediates 证书可以有很多级,也就是说 签发人 Issuer 可能会有有很多级

  3. root:可以理解为 最高级别的签发人 Issuer,负责认证 intermediates 身份的合法性

这个信任链条,最终目的是保证 end-user 证书``可信公钥``可信

在这里插入图片描述

证书链

结合实际的使用场景对证书链进行一个归纳:

  1. 为了获取 end-user 的公钥,需要获取 end-user 的证书,因为公钥就保存在该证书中

  2. 为了证明获取到的 end-user 证书是可信的,就要看该证书是否被 intermediate 权威机构认证,等价于是否有权威机构的数字签名

  3. 有了权威机构的数字签名,而权威机构就是可信的吗?需要继续往上验证,即查看是否存在上一级权威认证机构的数字签名

  4. 信任链条的终点是Root CA,采用自签名,对他的签名只能无条件信任

证书链逐级认证

无条件信任,尤瓦尔赫拉里在《人类简史》中已经阐述过,基于虚构故事所建立的信任,最终将人类带到了今天。

Root 根证书从何而来呢?

  • 自行下载安装

  • Trusted Root Certificates: 浏览器操作系统内置 Root 根证书

如 Apple MacOS 官网就记录了操作系统中内置的可信任根证书列表。

macOS High Sierra 中可用的受信任根证书列表

参考: What is the SSL Certificate Chain?

  • 数字证书是一种普遍使用的身份认证方式,

  • 另外一种认证方式,基于身份标识,和PKI竞争的IBC(Identity-Based Cryptography)体系正在兴起

sky8336
关注
  • 7
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
证书-证书校验
大力海棠的博客
02-03 8655
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
PKI和数字证书基本原理
sinat_22522367的专栏
05-21 2983
通信网络系统之间建立安全传输网络,将不同地理位置之间的物理设备组成一个安全域,设备之间的身份认证以PKI(Public Key Infrastructure)公钥基础设施为基础,利用公钥密码学技术和X.509标准的身份验证框架,通过数字证书认证作为安全业务的一种措施。 PKI系统的基本组成 公钥基础设施利用公钥加密和X.509技术,提供了标识用户身份,创建和分发证书,维护和取消
PKI(公钥基础设施)之什么是证书的数字签名?
FunFei123的博客
05-06 748
PKI(公钥基础设施)之什么是证书的数字签名? 作者:David Youd 原文地址:http://www.youdzone.com/signature.html 1 Bog的两把钥匙 Bob获得两把钥匙。Bob的一把钥匙称为公钥,另一把钥匙称为私钥。 2 Bob分享公钥给其他人 Bob分享了其公钥,可供任何需要它的人使用,但他保留了自己的私钥。 密钥...
OpenSSL 密码库实现证书签发流程详解_加密机证书签发
2301_76348171的博客
05-13 756
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年嵌入式&物联网开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上嵌入式&物联网开发知识点,真正体系化!
证书工作原理
12-11 578
根认证机构「CA」通过某种方式验证「CA2」的身份之后,再加上根认证机构自己的一些信息 ca_Info(Issuer,AKI),然后对它们(ca2_KeyPub + ca2_Info + ca_Info)进行散列运算,得到散列值 ca2_Hash。根认证机构「CA」将(ca2_KeyPub + ca2_Info + ca_Info + enc_ca2_Hash)组合签署成数字证书「ca2_Cert」并回送给「CA2」。如果两者相等,证明「ca2_Cert」是由「ca_Cert」签署的。
什么是证书
展望、进击
04-18 544
在数字世界中,证书是确保通信安全和数据完整性的关键结构。它构建了一个从受信任的根证书颁发机构(CA)到目标服务器证书的信任路径。本文将详细解释什么是证书,它是如何工作的,以及为什么它对保障网络安全至关重要。🌐🔍
https、ssl证书基本信息、证书
taejaysc的博客
09-03 1620
https、ssl证书基本信息、证书证书版本概要证书的工作原理证书验证级别证书结构证书字段证书扩展字段证书种类CA证书中间证书服务器证书证书 证书版本概要 ​ X.509被广泛使用的数字证书标准,是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sing-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的PKI标准。X.509定义了(但不仅限于)公钥证书证书吊销清单、属性证书证书路径验证算法等证书标准。 ​ X.509
证书简介
Dancen的专栏
10-26 9560
说明:除非特别指明,本文所述之证书,特指X.509 V3证书。 一. 什么是证书? 当客户端发起https请求时,web服务端会返回https证书,客户端将对证书进行验证验证通过之后客户端和服务端之间才能继续进行通信。 严格来说,web服务端所返回的https证书不是一个单一的证书,而是一组有序的证书,称为证书证书由终端证书开始,然后是签署颁发该终端证书的中间CA证书,再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个,一直接下去,在证书的末端,是根证书
数字证书工作原理及基本流程
itwxming的博客
09-19 1699
基本概念 对称加密:加密和解密用同一份密钥; 非对称加密:加密和解密用不同的秘钥,分别是私钥和公钥,这两个密钥是成对出现的,公钥加密过的密文只有对应的私钥能解密;私钥签名过的密文可以通过对应的公钥验签。原则上私钥是不能在网络中传递的。 目标 场景:甲要给乙发送一段机密信息 要保证这次信息传递的机密性、完整性、可信赖性,需要规避以下几条潜在风险: 风险一:明文在传递时被截获并读取...
数字签名,数字证书证书原理
小强快跑~~
01-17 870
来源:数字签名,数字证书证书原理(图文详解)_Ruby丶彬的博客-CSDN博客_证书验证原理 数字签名,数字证书,加密简述 数字签名:谈及数字签名,就如小时候老师叫把卷子或者作业带回去给家长签字。只不过数字签名非物理用笔签名,是通过计算机电子签名,这过程就涉及身份认证和信息加密。 例如:卷子的成绩考个0分等信息是不希望被其他人知道的就需要加密(信息加密);家长对卷子签字,需要对卷子作实名认证,证实确实是自己孩子而非他人的卷子(身份认证)。 数字证书:数字证书是用来认证公钥持有者身份合法性的电子文档
PKI基本原理
11-06
- **证书**:为了建立信任关系,数字证书之间可以通过一系列的相互认证形成条,最终接到受信任的根证书上。 - **证书撤销列表(CRL)**:记录了已经被撤销但尚未到期的数字证书列表,用于防止使用已被撤销的...
iOS 中对 HTTPS 证书验证.pdf
11-24
首先,我们来深入理解HTTPS的基本原理。 HTTPS,全称为“超文本传输安全协议”,是HTTP协议的安全版本,它基于TLS/SSL(传输层安全/安全套接字层)协议来实现。TLS/SSL的主要目标是在客户端和服务器之间建立安全的...
nginx的https证书
07-25
1. **服务器证书**:通常以`.crt`或`.pem`格式提供,包含服务器的公钥和证书。 2. **私钥文件**:以`.key`格式存储,用于解密由客户端加密的数据。 配置步骤如下: 1. **安装OpenSSL**:如果你的系统中尚未安装...
华为存储产品call home证书处理
06-13
值得注意的是,Call Home的默认CA证书证书形式,其有效期为证书中最短的有效期。 - 各场景下的默认应用证书有效期为10年。 - **系统时间修改对证书管理的影响**:如果随意修改系统时间,可能会导致证书提前...
数字证书详解
07-14
- **基本约束**(Basic Constraints):定义了证书是否可以作为CA证书使用,以及最大允许的证书长度。 - **密钥用途**(Key Usage):指明了证书的公钥可以用于哪些操作,例如数字签名、密钥交换等。 - **增强型...
【中科院1区】Matlab实现天鹰优化算法AO-RF锂电池健康状态估计算法研究.rar
最新发布
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
汽车行业数字化转型报告顶层规划设计.docx
08-02
汽车行业数字化转型报告顶层规划设计.docx
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文
08-02
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文 自中国证券市场产生以来,投资者进行投资理财迫切需要有一个科学的理论依据,在众多投资理论体系中,确定企业的价值和股票的价值,是一个重要的流派。著名的投资专家巴非特就是通过分析企业的内在价值,寻找价值被低估的股票,等到市场认可了该企业的价值,再将股票抛出,从而获得了的投机收益,其管理的基金也一度成为世界上最成功的投资基金之一。从西方国家理论界对相关领域的研究结果来看,也取得了一些成果,包括:CAPM 模型、 ICAPM模型、APT模型等,也有人用市盈率方法对股票进行定价。国内在相关的领域也取得了一些研究成果。然而,尽管国内外理论界研究成果较多,但真正适应中国证券市场、适应中国广大投资者的切实有效的理论至今仍是一个空白。在中国这样一个特殊的背景下,股权结构的特殊性、证券市场初创时期的投资性等因素,使得一些模型受到挑战,而且这些模型的精确化程度也受到限制,有必要探求新的思路和方法,为广大的投资者提供切实可靠的操作依据。对股票的价值进行评估必须综合尽可能全面的因素才能使得这些评估更加科
openssl操作证书
09-08
OpenSSL是一个开放源代码的加密工具包,可以用来进行SSL/TLS协议的实现。在使用OpenSSL操作证书时,可以采取以下步骤: 1.生成私钥和证书请求:首先,使用OpenSSL生成一个私钥和一个证书请求(CSR)。私钥用来签署证书,而CSR包含了申请者的公钥信息。 2.自签名证书:接下来,使用生成的私钥和CSR生成一个自签名证书。自签名证书可以用于测试或者临时环境,但在生产环境中,应该使用由受信任的第三方机构签名的证书。 3.签名证书:如果要获得第三方机构签名的证书,需要将CSR发送给证书颁发机构(CA)。CA会对CSR进行验证,并使用CA的私钥签名生成一个证书。这个证书可以用来在客户端与服务器之间建立信任。 4.构建证书证书是由证书和根证书构成的一条验证路径。在OpenSSL中,可以通过将证书和根证书连接在一起来构建证书。同时,还需要将每个证书保存为单独的文件,以便于使用。 5.验证证书:在服务端和客户端之间建立连接时,服务器需要将证书发送给客户端。客户端使用CA的公钥来验证证书的有效性。如果证书中的任何一个证书无效或不受信任,连接将被中断。 通过以上步骤,我们可以使用OpenSSL操作证书。这样可以确保在SSL/TLS连接中建立起合法且可信的通信路径,保证通信的安全性和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值