数字证书的有效性检验

已于 2024-09-08 21:12:48 修改
阅读量1.1k 收藏 9
点赞数 14
分类专栏: 商用密码 文章标签: 密码学
于 2024-08-22 14:19:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010543848/article/details/141418538
版权

目录

数字证书验证使用

数字证书是目前实现身份鉴别使用度最高最广的一种方式,其使用前的验证极其重要,根据《商用密码应用于安全性评估》中对数字证书验证使用的描述,应当进行三个步骤,分别是:证书中数字签名的有效性、证书的有效期和证书的撤销状态。
在这里插入图片描述

签名有效性

在进行证书验证时,应首先验证证书中数字签名的有效性,只有签名有效性验证通过之后,才能进一步提取出证书中的其他信息进行验证。具体验证过程为:首先从签发该证书的CA证书中获得公钥,然后从证书中提取出签名算法信息,再对证书除去签名算法和签名结果的部分进行签名验证。如果验证通过,那么就能确保证书的完整性,可以继续对证书进行其他方面的验证:如果验证不通过,那就说明证书是伪造的或被篡改的,不用进行其他的检查,直接认为此证书无效。

但在实际密评过程中,有时我们会遇到内网或专网情况,该证书打开后,无法看到其上级证书,也就没法进行签名有效性的验证,这时,我们需要找客户或通过互联网找寻上级证书甚至根证书。

通过互联网找寻上级证书的方式可参考以下方式:

1、确认证书签发者/颁发者

我们以沃通搭建的演示网站(https://sm2test.ovssl.cn/)中的证书为例(因为该网址是互联网可访,其证书链是完整的,我们可以通过其证书链佐证我们的方式是正确的)。
在这里插入图片描述

2、下载根证书或中级根证书

打开该网站的证书(sm2test.ovssl.cn),点击颁发者,可以看到其颁发者是国密SM2服务器根证书V3,机构是沃通电子认证服务有限公司,打开沃通电子认证服务有限公司的官网(https://www.wosign.com/),点击 技术支持–>下载 WoTrus 中级根证书–>沃通SM2中级根证书–>国密SM2服务器根证书V3,即可下载该证书。
在这里插入图片描述

下载后打开该证书,点击其使用者,可以对比网站的证书的颁发者与我们下载的这个证书的使用者相同,从网站的已有证书链上的序列号也能佐证我们找寻的上级证书无误。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、验证证书签名值

该签名过程可参考数字证书的签名值和指纹中数字证书的签名值验证方式,此处仅截图在这里插入图片描述
其签名值正确。

有效期验证

证书有效期的验证主要是检查当前时间是否在证书中有效期字段对应的时间段内。如果当前时间在有效期内,就对证书的其他内容进行进一步验证;否则,认为证书是无效的。
证书有效期查看的就是证书的开始时间和结束时间两个时间节点。
在这里插入图片描述
在这里插入图片描述
为确保签发的证书有效,被签发的证书有效期应被包含在签发者的证书有效期之间,例如沃通中级根证书有效期为2019年4月4日 14:18:18-2034年4月4日 14:18:18,而站点证书为2024年2月28日 17:00:38-2025年3月11日 01:42:15。

证书状态

最后,证书撤销状态的查询通常可以采用查询CRL、OCSP的方式。通过证书撤销状态查询,如果发现证书已经被撤销,那么证书就是无效的,用户不能使用该证书。
同样以沃通搭建的演示网站中的证书为例,打开该证书后,往下翻找,可以找到“CRL分发点”,根据其提供的网址访问后,可以得到CRL列表,打开该列表,选择吊销列表即可查看被吊销的数字证书序列号和吊销日期,依次核对被吊销的数字证书序列号后即可判定该证书是否有效。
在这里插入图片描述
在这里插入图片描述

pandaPHA
关注
专栏目录
浏览器工作原理与实践--HTTPS:浏览器如何验证数字证书
echohuangshihuxue的博客
04-23 2402
好了,今天的内容就介绍到这里,下面我们总结下本文的主要内容:我们先回顾了数字证书的申请流程,接着我们重点介绍了浏览器是如何验证数字证书的。首先浏览器需要CA的数字证书才能验证极客时间的数字证书,接下来我们需要验证CA证书的合法性,最简单的方法是将CA证书内置在操作系统中。
HTTPS证书生成、验签-、证书链
最新发布
weixin_45653328的博客111
10-21 828
证书的,然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation CA - SHA256 - G2” 证书,而 “GlobalSign Organization Validation CA - SHA256 - G2” 证书又信任。如果你的电脑中毒了,被恶意导入了中间人的根证书,那么在验证中间人的证书的时候,由于你操作系统信任了中间人的根证书,那么等同于中间人的证书是合法的。,后面我们可以用这个根证书去颁发服务器证书和客户端证书。
Certificate数字证书有效性验证
M先生的博客
06-19 1578
数字证书有效性验证的概念及代码
数字证书认证
qq_41768644的博客
07-23 1779
1、创建证书申请文件,包含申请人的公钥、指定签名算法 、有效期,申请人相关信息;2、CA先对该文件做hash算法,得到数字摘要3、CA使用自己的私钥对数字摘要进行加密得到数字签名,即证书签名4、证书签名+申请人信息 = 数字证书
数字证书(安全校验)
荣山的博客
02-01 927
数字证书
证书有效性验证、根证书
hqy1719239337的博客
03-29 1万+
一、 数字证书有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信...
https中的数字证书认证过程解析
Just Do IT
06-30 9260
RSA非对称加密的2个用途:加密(防窃听) RSA非对称加密会用到一对密钥,分别称为公钥和私钥,公钥加密之后的数据可以通过私钥来进行解密,私钥加密的数据也同样可以用对应的公钥进行解密。在web数据传输过程中,由于客户端和服务器端是多对一的关系,因此可以让所有的客户端持有相同的公钥,服务器持有私钥,这样一来就能方便地实现数据的加密传输。 签名(防篡改) 由于私钥只在某一个体手中,因此可以通过这
电信数智商用密码数字证书合格检测工具2.1.5版
08-06
SM2数字证书,充分借鉴与吸收了X509数字证书的格式与优点,在考虑RSA算法的优缺点之后,推出的基于商密公钥算法的SM2证书规范,至此,商密算法的数字证书在商用密码应用安全性评估中成为了必须要检测的一个重要环节...
国密数字证书验证-SM2、SM3、SM4
11-22
数字证书验证中,SM3用于计算证书和证书链的哈希值,以便与证书颁发机构发布的哈希值进行比对,确认证书的有效性和未被篡改。 SM4分组密码算法则是一种对称加密算法,主要用于数据的加密和解密。它采用128位的...
JAVA程序验证数字证书有效期与证书检验
"本资源主要介绍了如何检验和创建数字证书,特别是通过JAVA程序进行证书有效期的验证,以及使用keytool工具生成和管理数字证书过程。" 在信息安全领域,数字证书是一种重要的身份验证手段,它包含了公开密钥和...
数字证书及CRL扩展项和格式符合性检测标准
这些规定确保了数字证书和CRL在整个生命周期内的安全性和有效性,符合国家对信息安全的严格要求。GM/T 0043-2015《数字证书互操作检测规范》是指导检测过程的标准,确保不同系统间数字证书的兼容性和安全性。
数字签名与数字证书
TABE_的博客
12-15 1486
这里写目录标题数字签名数字证书数字证书的原理数字证书的特点如何验证证书机构的公钥不是伪造的 数字签名 数字签名是非对称密钥加密技术与数字摘要技术的应用,数字签名就是用加密算法加密message的摘要(摘要通过hash函数得到)而生成的内容。 发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用发送方的私钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再公钥来对报文附加的数字签名进行解密,如
【每日一题】9.19 数字证书验证流程
小刘的技术成长站
09-21 440
当实体收到数字证书时,它可以使用CA的公钥验证证书的签名,确保证书未被篡改且由合法的CA签发。持有者还可以使用私钥生成数字签名,接收者使用公钥验证签名,验证数据的来源和完整性。CA会验证请求者的身份,然后使用自己的私钥对请求中的信息进行签名,生成数字证书。实体生成一个证书请求,其中包含公钥、实体信息(如名称、电子邮件等)和签名。接收者可以使用数字证书中的公钥来加密数据,然后发送给证书的持有者。接收者可以检查证书中的实体信息以及CA的信息,确保证书的合法性。公钥是用于加密和验证的,可以被公开分享。
数字证书验证过程
arlaichin的专栏
03-30 6272
介绍X509证书验证过程
数字证书及其认证过程
热门推荐
cyy089074316的专栏
06-10 3万+
众所周知,公钥密码学通过使用公钥和私钥这一密钥对,使数字签名和加密通讯等密钥服务变得容易起来。公钥技术之所以能得到广泛的应用,原因就在于对那些使用密钥对中的公钥来获得安全服务的实体,他们能很方便地取得公钥,即密钥分发与管理比起对称密钥的分发与管理变得简单了。所以有人称,非对称密码算法是计算机安全通讯的一次技术革命。     当然,公钥的分发也需要数据完整性保护措施,即需要数据完整性服务来保障公钥
验证证书的有效性(cryptoapi)
hs_fish的专栏
08-02 1671
使用CertGetIssuerCertificateFromStore函数来验证证书的有效性,其函数声明如下:PCCERT_CONTEXT WINAPI CertGetIssuerCertificateFromStore( HCERTSTORE <a class="synParam" style="BACKGROUND: none transparent scroll repeat 0% 0
数字证书有效性验证
sunboy2718的专栏
08-05 7497
最近在做数字证书有效性验证的接口,主要是从数字证书的有效期、颁发根证书和CRL进行验证,下面我就从这几个方面来说数字证书有效性验证。 一、有效期 证书的有效期验证这个比较简单,就是使用时间在必须在证书起始和结束日期之间才有效,通过解析X.509对象很容易获取起止时间,判断证书有效期代码如下:         /// /// 有效期验证 ///
数字证书认证过程
weixin_33725126的博客
11-15 267
本文转自wanglm51051CTO博客,原文链接:http://blog.51cto.com/studyit2016/1901576 ,如需转载请自行联系原作者 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值