证书链工作原理

最新推荐文章于 2024-08-13 11:43:38 发布
最新推荐文章于 2024-08-13 11:43:38 发布
阅读量604 收藏 11
点赞数 8
文章标签: ssl https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smalltalkhyb/article/details/134929387
版权

颁发

证书发放

如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签名后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用签发那个证书CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。

根认证机构的构建

  1. 根认证机构「CA」生成公钥 ca_KeyPub 和私钥 ca_KeyPri,以及基本信息表 ca_Info。ca_Info 中一般包含了「CA」的名称、证书的有效期等信息。

  2. 根认证机构「CA」对(ca_KeyPub + ca_Info)进行散列运算,得到散列值 ca_Hash。

  3. 根认证机构「CA」使用其私钥 ca_KeyPri 对 ca_Hash 进行非对称加密,得到加密的散列值 enc_ca_Hash。

  4. 根认证机构「CA」将(ca_KeyPub + ca_Info + enc_ca_Hash)组合生成自签名的数字证书「ca_Cert」。这张证书称之为根证书,也就是说根证书实质上是一个自签名的证书。

根证书「ca_Cert」包含的内容:ca_KeyPub + ca_Info + enc_ca_Hash。

单级认证机构是签名是由根证书签名的,二级认证机构是证书是由中间证书签名的。因此只介绍下二级和多级认证机构的构建。

二级(或以上)认证机构的构建

  1. 二级认证机构「CA2」生成公钥 ca2_KeyPub 和私钥 ca2_KeyPri,以及基本信息表 ca2_Info。ca2_Info 中一般包含了「CA2」的名称、证书要求的有效期、证书功能扩展等信息。

  2. 二级认证机构「CA2」将 ca2_KeyPub、ca2_Info 送给根认证机构「CA」。

  3. 根认证机构「CA」通过某种方式验证「CA2」的身份之后,再加上根认证机构自己的一些信息 ca_Info(Issuer,AKI),然后对它们(ca2_KeyPub + ca2_Info + ca_Info)进行散列运算,得到散列值 ca2_Hash。

  4. 根认证机构「CA」使用其私钥 ca_KeyPri 对 ca2_Hash 进行非对称加密,得到加密的散列值 enc_ca2_Hash。

  5. 根认证机构「CA」将(ca2_KeyPub + ca2_Info + ca_Info + enc_ca2_Hash)组合签署成数字证书「ca2_Cert」并回送给「CA2」。

二级认证机构证书「ca2_Cert」包含的内容:ca2_KeyPub + ca2_Info + ca_Info + enc_ca2_Hash。

「ca2_Cert」可用于签署下一级的证书。

二级(或以上)认证机构的证书签署

  1. 服务器「S2」生成公钥 s2_KeyPub 和私钥 s2_KeyPri,以及基本信息表 s2_Info。s2_Info 中一般包含了「S2」的名称、证书要求的有效期等信息。

  2. 服务器「S2」将 s2_KeyPub、s2_Info 送给二级认证机构「CA2」。

  3. 二级认证机构「CA2」通过某种方式验证「S2」的身份之后,再加上根认证机构自己的一些信息 ca2_Info,然后对它们(s2_KeyPub + s2_Info + ca2_Info)进行散列运算,得到散列值 s2_Hash。
    二级认证机构「CA2」使用其私钥 ca2_KeyPri 对 s2_Hash 进行非对称加密,得到加密的散列值 enc_s2_Hash。

  4. 二级认证机构「CA2」将(s2_KeyPub + s2_Info + ca2_Info + enc_s2_Hash)组合签署成数字证书「s2_Cert」并回送给「S2」。

  5. 服务器证书「s2_Cert」包含的内容:s2_KeyPub + s2_Info + ca2_Info + enc_s2_Hash。

「s2_Cert」不可用于签署下一级的证书。

从上面可以看出,证书签署的流程是:「ca_Cert」-> 「ca2_Cert」->「s2_Cert」。它是一条完整的链条,我们把它称之为 「证书链」。

验证

收方在收到信息后用如下的步骤验证您的签名:

  1. 使用自己的私钥将信息转为明文;

  2. 使用发信方的公钥从数字签名部分得到原摘要;

  3. 收方对您所发送的源信息进行hash运算,也产生一个摘要;

  4. 收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份。

如果两摘要内容不符,会说明什么原因呢?

可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信;也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中已经遭到破坏或篡改。

作用:

  1. 保密性 - 只有收件人才能阅读信息。

  2. 认证性 - 确认信息发送者的身份。

  3. 完整性 - 信息在传递过程中不会被篡改。

  4. 不可抵赖性 - 发送者不能否认已发送的信息。

单级认证机构的验证

(假设根认证机构「CA」的根证书「ca_Cert」已经安装到操作系统中且被信任。下同。)

  1. 服务器「S」下发证书「s_Cert」给客户端「C」。

  2. 客户端「C」检查到「s_Cert」中的 ca_Info,发现它是由「CA」签署的。

  3. 客户端「C」取出「ca_Cert」中的 ca_KeyPub,对「s_Cert」中的 enc_s_Hash 进行解密得到 s_Hash。

  4. 客户端「C」对「s_Cert」中的(s_KeyPub + s_Info + ca_Info)进行散列运算,得到散列值 s_Hash_tmp。

  5. 客户端「C」判断 s_Hash 和 s_Hash_tmp 是否相等。如果两者相等,则证明「s_Cert」是由「ca_Cert」签署的。

  6. 客户端「C」检查「ca_Cert」,发现该证书是根证书,且已经被系统信任,身份验证通过。

二级(或以上)认证机构的验证

  1. 服务器「S2」下发证书「s2_Cert」、「ca2_Cert」给客户端「C」。

  2. 客户端「C」检查到「s2_Cert」中的 ca2_Info,发现它是由「CA2」签署的。

  3. 客户端「C」取出「ca2_Cert」中的 ca2_KeyPub,对「s2_Cert」中的 enc_s2_Hash 进行解密得到 s2_Hash。

  4. 客户端「C」对「s2_Cert」中的(s2_KeyPub + s2_Info + ca2_Info)进行散列运算,得到散列值 s2_Hash_tmp。

  5. 客户端「C」判断 s2_Hash 和 s2_Hash_tmp 是否相等。如果两者相等,则证明「s2_Cert」是由「ca2_Cert」签署的。

  6. 客户端「C」检查到「ca2_Cert」中的 ca_Info,发现它是由「CA」签署的。

  7. 客户端「C」取出「ca_Cert」中的 ca_KeyPub,对「ca2_Cert」中的 enc_ca2_Hash 进行解密得到 ca2_Hash。

  8. 客户端「C」对「ca2_Cert」中的(ca2_KeyPub + ca2_Info + ca_Info)进行散列运算,得到散列值 ca2_Hash_tmp。

  9. 客户端「C」判断 ca2_Hash 和 ca2_Hash_tmp 是否相等。如果两者相等,证明「ca2_Cert」是由「ca_Cert」签署的。

  10. 客户端「C」检查「ca_Cert」,发现该证书是根证书,且已经被系统信任,身份验证通过。

smalltalkhyb
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cer二进制,base64及证书解析api和头文件
07-11
cer二进制,base64及证书解析api和头文件 可以解析通用的.cer的二进制或base编码的CA文件 获取版本号,序列号,有效期,公钥信息,扩展信息等。
Android SSL证书验证原理
08-25
Android系统使用自己的密钥仓库来存储证书私钥,并在此基础上完成证书的验证工作。对于集成第三方密钥管理和验证机制的应用而言,需要将第三方提供的密钥和证书正确地存储到Android的密钥仓库中,并将第三方提供的...
什么是证书?其工作原理又是什么
安信SSL证书
03-04 5495
  证书是什么?证书是用于在公钥基础结构(PKI)的证书颁发机构(CA)之间建立信任关系。信任关系建立在根CA,中间CA和安全套接字层SSL证书之间的层次结构角色和关系。      实际上,为了识别SSL证书的信任因素,浏览器必须验证更多细节。这些详细信息不过是经过了更多审查的证书而已。该证书列表从根证书到最终浏览器,代表SSL证书。      接下来,我们将提供SSL证书的组成部分,来深刻的了解证书:      证书是由:根证书、中间证书、用户证书组成的一条完整证书信任      只有当整个
公钥私钥、数字证书概念
OceanWaves1993的博客
11-10 350
根据非对称密码学的原理,每个证书持有人都有一对公钥私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机 构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书公钥一样是 公开的。
iOS 对 HTTPS 证书的验证
weixin_33978016的博客
10-25 115
HTTPS从最终的数据解析的角度,与HTTP相同。HTTPS将HTTP协议数据包放到SSL/TSL层加密后,在TCP/IP层组成IP数据报去传输,以此保证传输数据的安全;而对于接收端,在SSL/TSL将接收的数据包解密之后,将数据传给HTTP协议层。   SSL/TSL包括四次握手,主要交换三个信息:   数字证书; 三个随机数; 加密通讯协议。   其通讯过程如下示意图:   数...
RSA证书验证
一个认真摸鱼的商用密码从业人员
03-20 1779
到这一步基本可以说明,证书验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书验证通过。
证书的基本原理
sky8336的博客
02-05 4686
证书的基本原理 证书: 由一串数字证书接而成 1、数字证书 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。 由 CA(Certifacate Authority) 负责签发, 关键内容: 颁发者、证书有效期、使用者组织、使用者公钥 等信息。 PKI(Public Key Infrastructure) 规范体系,包含: 数字证书格式定义 密钥生命周期管理 数字签名及验证 问题: CA 是如何签发一张证书? 使用者如何验证证书?
数字签名,数字证书证书原理(图文详解)
qq_38425803的博客
06-13 5498
数字证书:数字证书是用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。由CA证书授权中心颁发。 数字签名:谈及数字签名,就如小时候老师叫把卷子或者作业带回去给家长签字。只不过数字签名非物理用笔签名,是通过计算机电子签名,这过程就涉及身份认证和信息加密。
缺少证书 SSL缺少证书 怎么解决.zip
01-06
在IT领域,尤其是在网络安全和...综上所述,处理SSL缺少证书的问题需要对SSL/TLS的工作原理有深入的理解,并能够正确配置和验证服务器的证书。遵循正确的步骤,可以有效地解决这一问题,从而确保网络通信的安全。
导入证书可以解决”无法建立到信任根颁发机构的证书"问题。
05-23
首先,我们需要了解证书工作原理。在公钥基础设施(PKI)中,每个证书都有一个签发它的权威机构,即证书颁发机构(CA)。这些CA又有一个或多个上级CA,直至追溯到一个被操作系统或浏览器广泛信任的根CA。当验证...
Kubernetes中的证书工作机制详解
11-29
Kubernetes 是一个强大的容器编排系统,其内部的证书工作机制对于确保集群安全至关重要。...为了深入了解,可以参考提供的接或其他相关文档,进一步学习 TLS 原理以及如何在 Kubernetes 中管理和生成证书
SSL工作原理详解说明
05-25
综上所述,SSL工作原理的核心是通过公钥/私钥加密技术,结合数字签名和证书机制,确保了网络通信的机密性、完整性和用户身份的真实性。这一技术对于保障在线交易、电子邮件等敏感信息的安全至关重要。
一文详解 HTTPS 与 TLS证书校验
赶路人儿
11-07 5021
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
SSL证书验证原理和https加密
赶路人儿
10-28 3975
SSL证书验证原理,以及https加密原理
SSL证书原理
linux_tcpdump的博客
12-26 439
HTTPS 工作原理 HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,TLS/SSL中使用了非对称加密,对称加密以及HASH算法。握手过程的具体描述如下: 1)浏览器将自己支持的一套加密规则发送给网站。 2)网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7559
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
公钥私钥证书
ttomqq的专栏
11-17 447
加密和认证    首先我们需要区分加密和认证这两个基本概念。    加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安 全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同的。 公钥私钥     公钥私钥就是
证书简介
Dancen的专栏
10-26 9642
说明:除非特别指明,本文所述之证书,特指X.509 V3证书。 一. 什么是证书? 当客户端发起https请求时,web服务端会返回https证书,客户端将对证书进行验证,验证通过之后客户端和服务端之间才能继续进行通信。 严格来说,web服务端所返回的https证书不是一个单一的证书,而是一组有序的证书,称为证书证书由终端证书开始,然后是签署颁发该终端证书的中间CA证书,再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个,一直接下去,在证书的末端,是根证书
SSL发送邮件:如何确保邮件传输过程安全?
最新发布
DengHua2203的博客
08-13 446
配置SSL发送邮件需要正确设置邮件客户端和邮件服务器,并定期检查SSL证书的有效性。AokSend,通过API与SMTP接口,安全SSL加密发送邮件,保护数据,营销无忧!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值