TLS/SSL(六) 非对称密码应用 PKI 证书体系

已于 2023-09-24 16:41:40 修改
阅读量217 收藏
点赞数
分类专栏: TLS/SSL系列 文章标签: CA PKI 证书链
于 2023-09-23 14:18:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/133202280
版权

一  PKI 证书体系

概念: 'PKI'、'CA'、'数字证书'、'证书链'、'数字签名'

之前'讲解'的公钥'不同于'https站点所获取的'证书',公钥只是数字证书的'一部分'信息

说明: 以下内容仅作为'个人'笔记

华为云证书管理服务 CCM

①   基础

PKI目前有一系列'标准规范'定义,主要包括:

②  CA机构

关键字: root CAs 和 intermediates CAs

1、CA的组织结构是一个'树'结构,多'阶'组成

2、一个root CAs下面包含'多个'intermediates CAs

备注: 而intermediates'又可以包含'多个intermediates CAs

3、root CAs 和 intermediates CAs都可以'颁发证书'给用户

备注: 颁发的证书'分别'是root Certificates和intermediates Certificates,

4、最终'用户用来认证公钥的证书'则被称为'end-user Certificates'

强调: 中间的CA就是'intermediates CAs',它们才会'颁布' end-user certificates


1、根证书 'root certificates' 说明

浏览器和操作系统等都会'内置'一些root certificates,称之为trusted root certificates

2、intermediates certificates的可靠性又如何'保证'呢?

这就是涉及到'证书链', Certificate Chain ,'链式向上'验证证书

证书链

③  签发证书流程

说明: PKI的以下三个'组件'负责证书的'生命周期'

1、生成'公私钥'之后,把'公钥和个人的身份信息'发起一个'申请'给一个CA认证机构

遗留: '个人'信息包含的内容'后续'讲解

2、CA'审核身份信息'没有问题后

3、接着会用'CA机构自身的私钥'对这些信息进行加密,加密之后生成一个'数字证书'就叫作'公钥证书'

④   签名验签流程

思考: 为什么'CA机构'颁发'公钥数字证书'能起到'身份验证'的作用呢?

说明: 通信双方'认证对方'的数字证书时的'细节'

ssl双向验证  ssl_verify_depth的作用  ssl_verify_depth 0 1 2 含义

nginx双向认证配置proxy_ssl_verify_depth详解

遗留: 

 1、证书的'深度'探究

 2、证书'拼接',也即把'中间层CA机构'的证书也放入其中

如何解决缺少中间层导致SSL证书链不完整   openssl如何将证书格式转换为PEM格式

https双向认证

⑤  证书信任链

 证书链    证书信任链图谱  证书信任链

中间人:  '权威CA' 机构 就是'中间层代理' CA机构,'区别'根CA机构

补充: 每一个中间CA机构都由'上一层'CA机构做'信用背书'  --> '担保'

说明: '校验'证书链

⑥  PKI 公钥基础设施

公钥数字证书的'运作'体系  --> PKI公钥基础设施

说明: 'CRL'比较慢,现在采用'OCSP'

说明: 'PKI'的运作流程

注意事项: 'ECDHE'的TLS通信协议中,'密钥协商'并'不使用'对方证书中的公钥

⑦   公钥证书类型

各类型SSL证书之间的区别

核心: 不同证书类型适用的'应用'场景、'费用'、'审批流程'、'信任等级'和'安全性'不同

补充: 三者本身的'加密程度'而言是'一样'的,但是对'用户的身份的校验'不同

⑧  域名类型

如何选择域名类型

关键字: '单域名'、'多域名'、'泛域名'

备注:  如何从'证书'中判断域名的'支持'形式?

⑨   华为云证书支持的加密算法

重点: 学好'RSA'和'ECC'

后续: 不再从'原理'角度学习,而是从'实战'角度进行理解

遗留: 有些'约定俗成'的名字或者'后缀' --> der、pem、csr、crt

java证书  证书FAQ

二   答疑解惑

wzj_110
关注
专栏目录
理解SSL/TLS系列 (三) 证书PKI
zhanyiwp的博客
04-21 2215
一、为什么需要证书 在上一篇文章中我们谈到了数字签名,数字签名可以识别篡改或者发送者身份是否被伪装,也就是验证消息的完整性,还可以对消息进行认证。还可以防止抵赖。也谈到了数字签名无法抵御中间人攻击,那么什么是中间人攻击呢? 如图所示,攻击者位于发送者和接收者中间,对发送者伪装成接收者,对接收者伪装成发送者。以此来进行欺上瞒下。 这里的关键问题就是发送者Alice没办法确认收到的公钥就是...
PKI体系下,SSL/TLS实现HTTPS应用的过程中,浏览器和服务器之间用于加密HTTP消息采用的是**非对称加密**
BLOG域名:programb.blog.csdn.net
06-07 983
具体来说,当浏览器向服务器发起请求时,双方会协商使用一种非对称加密算法,服务器将自己的公钥发送给浏览器,浏览器利用这个公钥将对称密钥加密后传回服务器,之后双方的通信就基于这个共同的对称密钥进行加解密操作。这种混合使用非对称加密和对称加密的方式,既利用了非对称加密在密钥交换方面的安全性,也利用了对称加密在数据处理方面的高效率。总结而言,虽然非对称加密在SSL/TLS协议的握手过程中起到了关键作用,但实际上在HTTPS应用中,非对称加密和对称加密都有使用。这一系列操作确保了接下来通信的安全。
HCIA-SEC笔记14------PKI证书体系
weixin_44747184的博客
11-14 919
HCIA-SEC课程之PKI证书体系
PKI体系及常见证书
天涯角落的专栏
02-21 1654
http://blog.chinaunix.net/space.php?uid=23637692&do=blog&id=3057988 1.PKI体系 1.1 PKI(Public Key Infrastructure,公钥基础架构) PKI是一套以公钥技术为基础、提供安全服务的架构, 由认证机构(CA), 数字证书库, 密钥备份和恢复, 证书作废系统, 应用接口等组成。CA是PK
PKI证书体系
qq_26226375的博客
03-14 200
10 PKI证书体系 - 哔哩哔哩
PKI证书体系(数字证书)介绍
weixin_42334426的博客
03-08 902
数字证书简称证书,他是一个经证书授权中心(即在PKI中的证书认证机构CA)数字签名文件,包含拥有者的公钥及相关身份信息。 证书有四种类型: 自签名证书:没法在三方机构进行证书授权的,自己在本地给自己办法一个证书 CA证书:发给CA证书 本地证书CA机构颁发给某一个通信实体的证书 设备本地证书:根据CA证书去给自己颁发的证书
PKI 体系概述
云上笛暮
12-10 4095
CA中心——CA系统——数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。 传统密码学 换位加密法; 替换加密法; 现代密码学加密基元 加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。 说明: 散列函数(散列(hash)、指纹.
TLS/SSL 工作原理及握手过程详解
aliyun3的博客
04-21 2486
前言 本文是对 HTTPS 安全基础、TLS/SSL 工作原理及握手过程的总结。第一部分介绍为 HTTPS 提供安全基础的 TLS/SSL 的基础概念,及数据传输过程中密钥协商的原因。第二部分介绍密钥协商过程中存在的问题,及解决办法,其中会涉及 PKICA 等概念。最后介绍 TLS/SSL 的握手过程。 HTTP 和 HTTPS 的区别:https://blog.csdn.net/qq_38289815/article/details/80969419 TLS/SSL 基础概念 概念源自百
Implementing SSL / TLS Using Cryptography and PKI 1st Edition (无水印,数字版)
03-16
根据提供的文件信息,可以看出这是一本关于实现SSL/TLS协议的书籍,使用密码学和公钥基础设施(PKI)作为实现手段。下面将详细介绍与这个主题相关的关键知识点。 SSL(安全套接字层)和TLS(传输层安全性)是两种...
Implementing SSL TLS Using Cryptography and PKI.pdf
02-22
根据提供的文件信息,我们可以深入探讨以下几个关键的知识点:SSL/TLS协议的作用与实施、加密技术在SSL/TLS中的应用以及公钥基础设施(PKI)如何支撑整个安全通信过程。 ### 1. SSL/TLS协议的基本概念及作用 **SSL...
PKI体系具体流程图解,通俗易懂,很有用
08-05
PKI体系具体流程图解,通俗易懂,很有用
PKICA与数字证书技术大全
12-06
标题"PKICA与数字证书技术大全"暗示了主题是关于公钥基础设施(Public Key Infrastructure, PKI)和认证授权机构(Certification Authority, CA),以及与之相关的数字证书技术。这是一套全面的资料,旨在帮助读者...
安全与加密常识(2)TLS/SSL安全协议
最新发布
二进制君
07-30 102
传输层安全性协议 Transport Layer Security,TLS 及其前身安全套接层 Secure Sockets Layer,SSL是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。发展历程SSL 1.0和2.0: 1990年代初期由网景公司开发,但存在严重的安全漏洞,因此很快被废弃。
TLS协议、PKICA
weixin_41652912的博客
04-24 1011
本篇文章纯属于想到哪写到哪,所写的内容也不一定对,因为白天工作中刚好谈到TLS协议,然后晚上查阅资料,牵涉出TCP/IP、PKICATLS/SSI等一系列知识点。本来已经睡下了,还是决定半夜爬起来把自己的一些理解记录下来,怕过一段时间后,把好不容易理解的地方又给遗忘了。 TLS/SSL 传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种...
PKI/CA体系介绍
lonelymanontheway的博客
08-30 3014
概念、PKICA、CRL、CDP、OCSP、其他、数字证书、数字签名、认证过程、证书类型、证书申请、证书撤销、证书导入
pki体系总结
m0_73429317的博客
11-11 2979
pki体系的最完整详细总结,思路清晰。
TLS/SSL PKI介绍
joey6366的专栏
07-08 2163
Tls/ssl(transport layer security /security socket layer)协议是应用比较成熟的,性能很好的安全协议,结合用户名/口令的鉴权机制可以较好的保护系统通信和应用层数据的安全。 在说明tls/ssl协议时如何保证通信安全之前,必须介绍几个概念和原理。 自76年第一个公钥算法提出后,密码体制分为非对称加密体制(又名公钥体制,如RSA,DH等)和对称加
PKI证书相关基本知识
Hello
02-17 5179
1、PKI体系 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI基础设施:CA,RA,KMC,CRL,OCSP用处 PKI组件: 1)认证中心-CA 作用:负责签发、管理和作废证书等操作 ps: 颁发证书使用CA的私钥对证书请求文件进行签名,颁发的证书浏览器要信任,浏览器 使用CA的公钥进行验签(浏览器要内置CA的公钥) 2)注册中心-RA 作用:建立证书持有者和证书之间的联系 3)证书
PKI】【CA】【证书签发】
weixin_45734052的博客
03-19 2103
PKI/CA证书签发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值