HTTPS学习笔记:(3)一文彻底了解PKI与证书

最新推荐文章于 2024-05-02 13:47:34 发布
最新推荐文章于 2024-05-02 13:47:34 发布
阅读量3.8k 收藏 18
点赞数 5
分类专栏: 网络协议 文章标签: PKI TLS证书 证书字段 证书吊销 证书分类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eric_sunah/article/details/103524581
版权

1. PKI

PKI(public key infrastructure)的目标是实现不同成员在不见面的情况下进行安全通信,采用的模型是基于证书颁发机构( certification authority或certificate authority, CA)签发
的证书。PKI体系结构如下图所示:
在这里插入图片描述

  • 订阅人:指那些需要证书来提供安全服务的团体。
  • 登记机构:主要是完成一些证书签发的相关管理工作。可以理解为代理机构
  • 证书颁发机构:既CA,是指证书的颁发机构,它会在确
    认申请用户的身份之后签发证书。同时CA会在线提供其所签发证书的最新吊销信息,这样信赖方就可以验证证书是否仍然有效。
  • 信赖方:指那些证书使用者,主要指那些需要通过证书在互联网上进行安全通信的最终用户。信赖方为了能够验证证书,必须收集信任的所有根CA证书。大多数的操作系统都提供一个根证书库,几乎所有的软件开发者都重用了底层操作系统提供的根证书库,唯一的例外是Mozilla,为了保证不同平台的兼容性,它维护了自己的根证书库。

2. 证书

证书是一个包含公钥、订阅人相关信息以及证书颁发者数字签名的数字文件。

2.1 证书的分类

证书分类主要包括下面的类型

  1. 域名验证型(DV)

    • 只验证网站域名所有权
    • 仅能加密通信内容,不能向用户证明网站的真实身份
    • 适合无身份认证需求的网站,如larave_china等

  2. 组织验证型(OV)

    • 需验证域名所有权和所属单位的真实身份。
    • 不仅能加密通信内容,还能向用户证明网站的真实性
    • 适应电子商务,企业等网站使用,如亚马逊商城

  3. 扩展验证型(EV)

    • 严格的身份验证,最高安全级别
    • 提供通信内容加密与网站身份证明,浏览器状态显示单位名称。
    • 适合金融证券,银行等网站使用,比如工商银行

2.2 证书结构

从浏览器以及censys(https://censys.io/certificates) 都可以清洗的看到证书的信息:
浏览器上部分证书内容如下:
在这里插入图片描述

在censys上查询baidu的证书,部分内容如下(完整内容可查看:https://censys.io/certificates/ed68c58b63218e1d2aa63394b3f23eca26fe5884c9f2235ac2d4ab6edd2f064e/openssl):

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            2c:ee:19:3c:18:82:78:ea:3e:43:75:73
    Signature Algorithm: sha256WithRSAEncryption
        Issuer:
            commonName                = PRINTABLESTRING:GlobalSign Organization Validation CA - SHA256 - G2
            organizationName          = PRINTABLESTRING:GlobalSign nv-sa
            countryName               = PRINTABLESTRING:BE
        Validity
            Not Before: May  9 01:22:02 2019 GMT
            Not After
最低0.47元/天 解锁文章
铁猴
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
企业根CA和二级CA的区别
weixin_34192816的博客
09-23 1854
我想问下,我建立企业根CA和二级CA后,使用二级CA签名的证书是否可以用根CA的公钥验证其身份?根CA颁发的二级CA证书和普通用户证书有哪些不同呢? 我设想,我设定独立根CA和独立附属CA,在不用的证书应用里使用不同的附属CA颁发,然后让根CA服务器离线保护根CA,同时我也可以方便管理和吊销我的附属CA签发的各类证书。比如我要做一个双向认证的WEB服务器,利用附属CA签发客...
PKI证书体系(数字证书)介绍
weixin_42334426的博客
03-08 665
数字证书简称证书,他是一个经证书授权中心(即在PKI中的证书认证机构CA)数字签名文件,包含拥有者的公钥及相关身份信息。 证书有四种类型: 自签名证书:没法在三方机构进行证书授权的,自己在本地给自己办法一个证书 CA证书:发给CA的证书 本地证书:CA机构颁发给某一个通信实体的证书 设备本地证书:根据CA证书去给自己颁发的证书
PKI/CA与数字证书技术大全
12-06
从网络上找到这PKI/CA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
最新【网络信息安全】PKI 技术
最新发布
2401_84300239的博客
05-02 903
密钥档案 —— 用户应该可靠地保存已经过期的用于验证他人数字签名的该用户公钥,以便再次对他人的数字签名进行验证,主要用于审计和出现交易争端时。PGP 的一个用户通过担当 CA(签发其他实体的公钥)来发布其他实体的公钥——建立信任网(Web of Trust)。密钥恢复——解密私钥已被破坏但没被泄露时, 从备份(用户的密钥历史)中重新得到该密钥。密钥的所有拷贝都被销毁,重新生成该密钥的全部信息也被删除时,该密钥的生命周期才终止。只能由CA创建,所有要与该用户进行安全通信的其他用户都会向CA请求该用户的证书
PKI 体系概述
云上笛暮
12-10 3984
CA中心——CA系统——数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。 传统密码学 换位加密法; 替换加密法; 现代密码学加密基元 加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。 说明: 散列函数(散列(hash)、指纹.
CA证书结构和验证原理
Tomhex的博客
01-19 1425
CA证书结构
PKI体系及CA证书
wangtd的博客
07-20 1363
数字证书是一种电子文档,用于证明网络通信中某个实体(如个人、组织或网站)的身份和公钥。数字证书由权威的证书颁发机构(CA)签发,可以用于加密、解密、签名和验证数据。
windows服务器——部署PKI证书服务
yj11290301的博客
06-23 2479
本章将会讲解Windows服务器——部署PKI证书服务证书
学习笔记PKI系统基本结构
04-16
本资源总结了课程PKI系统基本结构的所有内容,对了解PKI系统有一定的帮助
详解:PKI技术、CA证书技术
11-25
PKI技术与CA证书技术 PKI技术是指公钥基础结构的技术,用于保护数据和身份管理的强大凭据。PKI技术涉及到各种相互依赖的技术和流程,以便可以颁发、验证、续订和撤销证书PKI技术架构包括证书服务、Active ...
解决linux下访问https站点问题:证书无效.docx
11-20
Step 3: 导入 CA 证书 将转换后的 CA 证书追加到 Linux 系统的证书库中: `cat vmwar.pem >> /etc/pki/tls/certs/ca-bundle.crt` 这样,Linux 系统就可以信任该网站的证书颁发机构了,从而解决证书无效的问题。 ...
fpkilint:联邦PKI,X.509证书短绒
05-13
CPCT能够分析证书与预定义证书配置文件的符合性。 用户输入包括证书和配置文件选择。 处理完证书后,CPCT将输出一个表格,该表格的格式与经常包含在“证书概要文件”文档中的证书格式表相似,但包括指示PASS的其他...
通信与网络中的基于PKI的匿名数字证书系统的研究
10-20
摘要:在网络通信中数字证书用来验证证书持有者的真实身份,但根据X.509标准,数字证书的主体名域中会标有证书持有者的真实名称,这就造成用户的真实身份信息的泄露。本文提出一个在现行的PKI体系中发布匿名数字证书...
django-x509:实现x509 PKI证书管理的可重用django应用
02-04
**django-x509:实现x509 PKI证书管理的可重用django应用** 在信息技术领域,安全是至关重要的。X509是一种广泛使用的数字证书标准,用于建立公钥基础设施(PKI),它提供了身份验证、数据加密和完整性检查等功能。...
Python-PKI:用python编写的PKI管理工具
06-16
Python PKI 管理工具 这个 python 工具是一个围绕 openssl 的接口,用于简化您自己的 SSL CA 的管理。 用法 $ ./pypki.py init # Create a new CA in the current directory $ ./pypki.py csr # Create a CSR $ ./...
PKI基础与证书系统
01-12
PKI基础与证书系统
PKI】【CA】【证书签发】
weixin_45734052的博客
03-19 1683
PKI/CA,证书签发
HCIA-SEC笔记14------PKI证书体系
weixin_44747184的博客
11-14 869
HCIA-SEC课程之PKI证书体系
PKI证书相关基本知识
Hello
02-17 5083
1、PKI体系 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI基础设施:CA,RA,KMC,CRL,OCSP用处 PKI组件: 1)认证中心-CA 作用:负责签发、管理和作废证书等操作 ps: 颁发证书使用CA的私钥对证书请求文件进行签名,颁发的证书浏览器要信任,浏览器 使用CA的公钥进行验签(浏览器要内置CA的公钥) 2)注册中心-RA 作用:建立证书持有者和证书之间的联系 3)证书
HTTPS部署全攻略:SSL/TLSPKI与Web安全实践
HTTPS是HTTP协议与SSL/TLS协议的结合,用于提供加密通信和身份验证,是Web应用安全的基础。 首先,我们需要理解密码学基础。密码学是网络安全的核心,涉及到加密算法、散列函数和数字签名等概念。在HTTPS中,非对称...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值