证书是如何打通信任链的?

最新推荐文章于 2021-10-26 20:20:14 发布
最新推荐文章于 2021-10-26 20:20:14 发布
阅读量479 收藏 2
点赞数 1
文章标签: 区块链 密码学 操作系统
原文链接:https://yq.aliyun.com/articles/53645
版权

HTTPS通过证书来验证远程服务器是否合法。这就带来一个问题,我们怎么知道这个证书是合法的呢?如果证书是假的,那岂不是落入圈套了么。

证书路径:

我们通常在查看证书的详细信息时,可以查看证书的路径。如下图:

证书路径

这是alipay的证书,可以看到,它由“Symantec Class 3 Secure Server CA – G4”颁发。而“Symantec Class 3 Secure Server CA – G4”的证书又是由“VeriSign Class 3 Public Primary Certification Authority – G5”颁发的。再上面没有证书了,因为“VeriSign Class 3 Public Primary Certification Authority – G5”是根证书。

相当于是A,B,C三个人,A信任B,B信任C。我因为信任A,所以我也信任C。证书也是这样一个信任关系。

证书管理中心——CA:

CA是certificate authority的缩写,证书授权者。就是颁发证书的机构。

只有根证书是颁发机构颁发给自己的,因为这是从无到有的过程,这是信任的起始点,一般都是绑在操作系统上的。目前大部分的CA都是由根证书颁发机构授予证书颁发资格(其实就是给了个高级版证书)。

比如上面的VeriSign就是一个根证书颁发机构。貌似Symantec购买了VerSign的签名业务,所以Symantec也来颁发证书了,应该是二级证书吧。这果断是个一本万利的购买。

其实CA签发证书,就是用它自己的私钥来对证书的公钥做数字签名。后面会说到。

因为它是用于颁发证书的机构,因此,这个机构是否可信十分重要。比如,CNNIC 这种恶心的机构,颁发假证书,目前Chrome和Firefox 已经宣布不再信任CNNIC的证书。

CA的作用:

  •  接收验证最终用户数字证书的申请。
  • 确定是否接受最终用户数字证书的申请-证书的审批。
  • 向申请者颁发、拒绝颁发数字证书-证书的发放。
  • 接收、处理最终用户的数字证书更新请求-证书的更新。
  • 接收最终用户数字证书的查询、撤销。
  • 产生和发布证书废止列表(CRL)。
  • 数字证书的归档。
  • 密钥归档。
  • 历史数据归档。

证书的关键技术——公钥加密技术:

证书中最核心的就是公钥密码技术了。因为证书其实就是一个公钥。因此,在讲信任链如何打通前,需要稍微提一下公钥密码学。当然,证书也需要HASH算法,广义上也算密码学算法吧。

公钥密码学又称非对称密码学,是使用一对公钥和私钥的密码学。即,加密和解密的钥匙不是同一把准确的说是一对公钥和私钥,二者有关联,但技术上难以破解这个关联。因此,我们通常公开一把钥匙,保密另一把钥匙。它能用于加密数字签名

比如A是公钥,B是私钥。c是明文,s是密文,e为加密算法,d为解密算法。那么:

1e(c,A)=s  //加密
2d(s,B)=c  //解密
3d(s,A)!=c //无法直接逆运算

加密

目的:让这段文字变得看不懂。

做法:用公钥加密,私钥解密。

好处:相比于只有一把钥匙的加密算法,如果密钥泄露。密文也就会被破解。但是如果是公钥加密算法,公钥可以直接公开。只要保证私钥安全即可。因为即使知道加密的钥匙也无法破解加密后的密文。

我们验证远程服务器合法性就是利用这个。

数字签名:

目的:让签名者无法抵赖。

做法:和加密反过来,我们用私钥加密,公钥来解密。

原因:加密后的内容只能由匹配的公钥来解开。只要保证对应的私钥只有一把,而且安全,那么,这段加密后的内容肯定无法伪造,反过来,签名者也就无法抵赖了。验证这个加密也不需要使用私钥,所以很容易保证私钥的安全。

证书的通信链打通:

前面的东西,其实都是为了解释这个。。。

证书信任链的关键其实是数字签名。即,我如果使用我的公钥能解开你的数字签名,就说明你是可信的。这个数字签名就是由证书颁发者(CA),用它的私钥对证书的公钥做的数字签名。那么这个证书就能被信任CA的证书所信任。通常,证书会包含,公钥,公钥的指纹,签名,证书名,签发者,等等。。。

我们假设有证书:A,B。A是B的办法者的证书。假设A的私钥用pr-A表示。公钥用pu-A表示,用A加密的数字签名sig-A-内容,某个内容的散列为hash(xxx)。

B证书是A颁发的,那么B的证书中就会有使用A证书的私钥做的数字签名。因此,要验证B证书的合法性,就需要用A证书的公钥来解开。我们安装证书时,系统通常会自动验证合法性。比如安装B证书。(假设A证书已经存在)

证书验证:

  1. 系统会通过B的签发者,找到它的签发者的证书A。
  2. 确定需要使用的加密算法,hash算法什么的乱七八糟的。
  3. 关键:使用A的公钥pu-A来解开B的数字签名。通常情况B的数字签名是sig-A-hash(pu-B)。前面说了,数字签名就是用私钥加密内容。B的数字签名就是用A的私钥pr-A对B的公钥pr-B散列加密获得的。
  4. 解开了签名,得到hash(pu-B)后,只要hash一下B证书中的pu-B,对比一下散列是否一样。就可以确定这个证书是否合法了。

同理,B证书如果颁发了C证书,也是这样来验证C证书的有效性。这样就形成了一条信任链。

信任链

转载请注明:旅途@KryptosX » 证书是如何打通信任链的?

weixin_34144848
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PKI(公钥基础设施)之证书信任(数字证书
FunFei123的博客
05-07 3993
1 介绍 前面的“证书之什么是数字签名?”简单科普了一下为什么要使用证书。其实这些以及后面要科普的都是整个公钥基础设施PKI(Public key infrastructure)体系中一部分。下面介绍什么是数字证书信任证书是一个有序的证书列表,包含SSL证书证书颁发机构(CA证书,使接收方能够验证发送方和所有CA是否值得信任或路径以S...
什么是 HTTPS 的证书信任?自己给自己发行不行?
hebiwen95的博客
08-06 3524
HTTPS 就是在 TCP 和 HTTP 之间加了一个 SSL 或者叫 TLS 层,实现了加密、身份认证、防篡改的功能。为了增加随机性,每次都要生成密钥来做加解密,传输这个密钥需要用到非对称加密的公私钥机制。公钥加密的内容只有私钥能解开,防止被窃取。私钥只有一个人有,所以加密的内容可以用作身份认证,也就是签名。对内容做 hash,然后私钥签名,就能做到完整性校验,防止被篡改。但是如何保证拿到的公钥一定是对方的,这是个复杂的问题。...
证书信任
走马川行雪的博客
05-16 1620
以下说明以税务测试证书为准: ‘税务总根证书’为最根本的证书,它可以给自己颁发证书,那么证书颁发者和证书使用者都为总根证书。那么证书的颁发者和颁发给都为总根证书,授权密钥标识符和使用者密钥标识符相同: ‘税务总根证书’可以颁发证书给下一级称为‘税务一级根证书’,则它的颁发者为总根证书,使用者为一级根证书;则颁发者的使用者密钥标识符与使用者的授权密钥标识符相同: 证书信任:税务总...
信任证书
mengshi12的专栏
08-26 509
信任证书
安装SSMS16.5 报无法建立到信任根颁发机构的证书。(0x800B010A)
04-29
解压后直接右键,安装证书,将所有的证书放入下列存储,选择受信任的根证书颁发机构,确定,下一步,完成。证书安装完成之后,再安装18.6,如果是新环境(包括没有安装过SSMS的)安装高版本,比如SSMS18.9.1,需要先...
.NET 4.6.2 安装时出现 无法建立到信任根颁发机构的证书”解决方法
10-11
在安装Microsoft .NET Framework 4.6.2脱机包时提示 无法建立到信任根颁发机构的证书 实际上是要安装一个根证书 1.下载证书:MicrosoftRootCertificateAuthority2011.cer 2.开始→运行→MMC 3.文件→添加删除...
.NET Framework 运行库安装时,提示证书不受信任的解决方案
02-18
内含微软官方证书,以及一个教学视频: microsoftrootcertificateauthority2010.cer microsoftrootcertificateauthority2011.cer Solve_Ceritificate_Problem_Installing_dotNetFramework.mp4
安装framework 4.7.2的时报错 “无法建立到信任根颁发机构的证书
04-10
安装framework 4.7.2的时报错 “无法建立到信任根颁发机构的证书” 1.下载证书: 2.开始→运行→MMC 3.文件→添加删除管理单元 (Ctrl+M) 4.证书→计算机账户(其他的都保持默认,无限下一步) 5.回到窗体,...
openssl命令操作证书实例
09-06
在PKI系统中,证书是一种验证数字证书的方式,它由一系列相连的证书构成,每个证书都由其上一级证书签名,直到到达一个被广泛信任的根证书。根证书通常由权威的证书颁发机构(CA)持有,它们的公钥被预装在大多数...
数字证书信任
glowd的专栏
04-25 3537
介绍 前面的“证书之什么是数字签名?”简单科普了一下为什么要使用证书。其实这些以及后面要科普的都是整个公钥基础设施PKI(Public key infrastructure)体系中一部分。下面介绍什么是数字证书信任 证书是一个有序的证书列表,包含SSL证书证书颁发机构(CA证书,使接收方能够验证发送方和所有CA是否值得信任或路径以SSL证书开头,中的每个证书都由中下一个证书标识的...
保护公钥的证书证书信任
weixin_34326179的博客
07-03 376
2019独角兽企业重金招聘Python工程师标准>>> ...
证书的基本原理
sky8336的博客
02-05 4491
证书的基本原理 证书: 由一串数字证书接而成 1、数字证书 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。 由 CA(Certifacate Authority) 负责签发, 关键内容: 颁发者、证书有效期、使用者组织、使用者公钥 等信息。 PKI(Public Key Infrastructure) 规范体系,包含: 数字证书格式定义 密钥生命周期管理 数字签名及验证 问题: CA 是如何签发一张证书? 使用者如何验证证书?
什么是证书?其工作原理又是什么
安信SSL证书
03-04 5389
  证书是什么?证书是用于在公钥基础结构(PKI)的证书颁发机构(CA)之间建立信任关系。信任关系建立在根CA,中间CA和安全套接字层SSL证书之间的层次结构角色和关系。      实际上,为了识别SSL证书信任因素,浏览器必须验证更多细节。这些详细信息不过是经过了更多审查的证书而已。该证书列表从根证书到最终浏览器,代表SSL证书。      接下来,我们将提供SSL证书的组成部分,来深刻的了解证书:      证书是由:根证书、中间证书、用户证书组成的一条完整证书信任      只有当整个
https证书配置完整证书常见问题
千里之外的博客
12-17 8644
1.完整证书是什么 举例说明,如图,从上到下依次是根证书,中间证书,网站证书;中间证书可能有多级证书,比如有的证书长度是4,那么中间证书就是两级。 2.配置完整证书是否配置根证书 答案是不配置,根证书是终端设备预装信任的。 以windows系统为例,chrome使用的是操作系统预装的证书库;windows运行certmgr.msc即可打开证书管理器。 火狐浏览器内置了证书管理器...
关于 SSL 及 CA 证书,你可能需要知道这些
热门推荐
的米-漠石's Blog
03-27 3万+
SSL,对于很多人来说,只是听说过而已,实际应用遇到相对比较少。很不幸,在我试图配置 IIS6 + SSL,遇到了一些麻烦,在试过许多网上的方法后,问题却依然存在。在一番费时费力的网络资料搜索后,有点稀里糊涂地解决了,我想我有可能弄明白了,SSL是怎么回事。 我遇到的问题有两个 1. 使用的是自签发证书,浏览器报警。该怎么添加证书信任。 2. 外部网络无法访问 SSL 网页。
证书简介
Dancen的专栏
10-26 9467
说明:除非特别指明,本文所述之证书,特指X.509 V3证书。 一. 什么是证书? 当客户端发起https请求时,web服务端会返回https证书,客户端将对证书进行验证,验证通过之后客户端和服务端之间才能继续进行通信。 严格来说,web服务端所返回的https证书不是一个单一的证书,而是一组有序的证书,称为证书证书由终端证书开始,然后是签署颁发该终端证书的中间CA证书,再然后是签署颁发前一个中间CA证书的另一个中间CA证书…中间CA证书的数量可以是0个到多个,一直接下去,在证书的末端,是根证书
证书
技术的学习与积累是个技术活
09-08 1359
原文接:http://baike.baidu.com/view/2164670.htm ==============================================================================================
数字证书CA简单介绍
水木年华..的博客
09-07 1003
文章来源:http://kb.cnblogs.com/page/194742/ ◇ 什么是证书? “证书”洋文也叫“digital certificate”或“public key certificate”(专业的解释看“这里”)。   它是用来证明某某东西确实是某某东西的东西(是不是像绕口令?)。通俗地说,证书就好比例子里面的公章。通过公章,可以证明该介绍信确实是对应的公司发出
sql证书是由不受信任
最新发布
05-22
证书是由一系列数字证书组成的,每个数字证书都签署了下一个数字证书,最终形成了一个信任。如果根证书(也称为信任锚)已被认可,则整个证书被视为受信任的。 如果证书中的任何一部分未被认可,则整个证书...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值