CA证书

最新推荐文章于 2024-06-24 11:30:00 发布
最新推荐文章于 2024-06-24 11:30:00 发布
阅读量2.6w 收藏 127
点赞数 17
分类专栏: 安全设计 文章标签: ssl ca 安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyuge1987/article/details/79209473
版权

1. CA证书理解?CA证书的作用?

CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书。要对CA证书完全理解及其作用,首先要理解SSL。SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议。SSL3.0版本以后又被称为TLS。SSL位于TCP与各应用层之间,是操作系统向外提供的API。SSL如何保证网络通信的安全和数据的完整性呢?就是采用了两种手段:身份认证和数据加密。首先身份认证就需要用到CA证书了。先了解CA证书具体包括哪些内容:

颁发者
使用者
版本
签名算法
签名哈希算法
使用者
公钥
指纹
指纹算法
……
上述中颁发者、使用者、版本等内容好理解,颁发者就是CA机构,下面会讲到。对于签名算法、签名哈希算法的理解,首先要先理解签名是什么东东?联系到实际情况,当我们向某机构提供报告时,往往在报告最后加上个人的名字,以表示该报告是我本人的。签名在网络通讯中的应用称为数字签名,当服务器向客户端发送信息时,会将报文生成报文摘要,同时对报文摘要进行hash计算,得到hash值,然后对hash值进行加密,然后将加密的hash值放置在报文后面,这个加密后的hash值就称为签名。服务器将报文、签名和数字证书一同发送给客户端。客户端收到这些信息后,会首先验证签名,利用签名算法对签名进行解密,得到报文摘要的hash值,然后将得到的报文生成报文摘要并利用签名hash算法生成新的hash值,通过对比这两个hash值是否一致,就能判断信息是否完整,是否是由真正的服务器发送的。可知签名有两个作用确认消息发送方可靠,确认消息完整准确。

上面提到了hash值的加密,我们还需要理解SSL的加密机制,在使用SSL的网络通讯过程中,消息在请求和响应中都是加密传送的。首先要知道加密算法分为两种:对称加密和非对称加密。对称加密就是发送双发使用相同的密钥对消息进行加解密,常见的对称加密为DES、3DES,AES等。非对称加密是发送双方各自拥有一对公钥私钥,其中公钥是公开的,私钥是保密的。当发送方向接收方发送消息时,发送方利用接收方的公钥对消息进行加密,接收方收到消息后,利用自己的私钥解密就能得到消息的明文。其中非对称加密方法有RSA、Elgamal、ECC等。此处只是简单了说明了这两种加密机制的过程,若要深入理解它们的原理、过程请搜索相应的资料,很容易搜索到。

好了,了解了签名原理和两种加密机制,我们继续理解网络通讯中是怎么利用CA证书进行身份认证的?客户端与服务端需要经过一个握手的过程才能完成身份认证,建立一个安全的连接。握手的过程如下:

  1. 客户端访问服务器(比如:https://www.12306.cn),发送ssl版本、客户端支持的加密算法、随机数等消息。
  2. 服务器向客户端发送ssl版本、随机数、加密算法、证书(证书出现了)等消息。
  3. 客户端收到消息后,判断证书是否可信(如何判断可信,看下文介绍),若可信,则继续通信,发送消息包括:向服务器发送一个随机数,从证书中获取服务器端的公钥,对随机数加密;编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送;客户端握手结束通知。
  4. 服务器端对数据解密得到随机数,发送消息:编码改变通知,表示随后信息都将使用双方协定的加密方法和密钥发送。

以上就是整个握手的过程,在第三步实际上就完成了身份的认证,第四、五步是进行密钥的商定,因为非对称加密算法对数据加密非常慢,效率低,而对称加密加密效率很高,因此在整个握手过程要生成一个对称加密密钥,然后数据传输中使用对称加密算法对数据加密。可知ssl整个握手过程包括身份认证、密钥商定。上述讲述ssl的握手过程比较简单,想要深入理解ssl原理,下面这篇博文讲的不错:
https://segmentfault.com/a/1190000002554673
一定要看上面的博文,否则无法彻底理解证书使用的原理。

2.客户端是如何验证CA证书是可信任的?

一般来说,现在公共网站数据传输都是使用SSL,即通过https协议访问。Https就是http加SSL。在上面SSL握手过程中,客户端是如何验证服务器发送的CA证书呢?我们以12306网站为例进行说明,此时,客户端就是浏览器,如果我们是第一次访问12306网站,使用https://www.12306.cn地址访问,返回如下结果:
这里写图片描述

提示此网站的安全证书有问题,说明证书不可信,如果我们忽略证书不可信,继续访问网站,打开12306网页,在首页提供一个根证书的下载,见下页面:

这里写图片描述

下载根证书,安装完毕,再次访问12036网站,就不会提示网站的安全证书有问题了。这是什么机制呢?

打开【工具】菜单(360浏览器为例),然后选择【内容】选项卡,点击【证书】按钮,打开证书窗口,选择【中级证书颁发机构】,会看到已经安装的12306的证书:

这里写图片描述

只要安装上12306证书,就说明证书是可信的。使用https协议访问时,服务器发送证书向浏览器时,首先查找该证书是否已在信任列表中,然后对证书进行校验,校验成功,那么就证明证书是可信的。另外,证书的认证是安装证书链执行的,证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,比如在证书窗口中有一个360证书,见下图:

这里写图片描述

360证书的颁发者是certification authority of wosign,在【受信任的根证书颁发机构】中,我们会看到该证书:见下图,

这里写图片描述

也就是说,certification authority of wosign生成360证书,360可以生成其它的证书。A证书或者certification authority of wosign证书在整个证书链上就被称为根证书,证书验证的机制是只要根证书是受信任的,那么它的子证书都是可信的。比如说,我们使用https协议访问了需要360证书的网站,即使我们不安装360证书,那么网站也不会提示证书不安全,因为,生成360证书的根证书certification authority of wosign证书,在受信任的证书列表中。如果一个证书的根证书是不可信的,那么这个证书肯定也是不可信任的。

由以上可知,根证书在证书验证中极其重要,而且,根证书是无条件信任的,只要我们将根证书安装上,就说明我们对根证书是信任的。比如我们安装12306的根证书,是出于我们对国家的信任,对网站的信任,我们才放心安装这个根证书。对于一些不安全的网站的证书,一定要慎重安装。

另外需要知道的是,【受信任的根证书颁发机构】中的证书是windows预先安装的一些证书,都是国际上很有权威的证书机构,他们证书的生成都有很严格的流程,因此他们的证书被认为是安全,就像我们相信银行是安全,所以把钱存入到银行。

3.有哪些CA机构?

世界上较早的数字认证中心是美国的verisign公司,在windows的证书窗口中可以看到好多verisign公司生成的证书,见下图:

这里写图片描述

另外还有加拿大的ENTRUST公司,也是很著名的证书机构。中国的安全认证体系分为金融CA和非金融CA。在金融CA方面,根证书由中国人民银行管理,在非金融CA方面,由中国电信负责。中国CA又可分为行业性CA和区域性CA,行业性CA中影响最大是中国金融认证中心和中国电信认证中国;区域性CA主要是以政府为背景,以企业机制运行,其中广东CA中心和上海CA中影响最大。

4.自签名证书的如何生成、安装?

有时候,我们在内部系统传输数据需要使用SSL协议,对数据加密,但是我们又不想花钱去申请CA,这个时候可以使用自签名CA,实现数据加密传输的功能。首先要明确一点就是自签名证书是不安全的,存在安全漏洞,具体看下面的博文介绍:

为什么”自签名SSL证书”不安全?
https://www.wosign.com/FAQ/selfsigned_SSL_insecure.htm

自签名证书使用jdk中的keytool生成即可,看似神秘,但实际上比较简单,见下博文:

如何利用keytool工具生成数字证书
https://jingyan.baidu.com/article/b0b63dbfe18eff4a483070f4.html

自签名证书的安装也很简单,见下博文:

添加自签发的 SSL 证书为受信任的根证书
https://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/

在java编程中,使用socket网络编程,实现SSL协议,对服务器的证书需要导入到客户端的秘钥库中,这样才能完成自动认证,具体实现见下博文:

JAVA SSL SOCKET通信服务器端客户端证书双向认证
http://blog.csdn.net/matt8/article/details/45071815

鸽子窝下蛋
关注
  • 17
    点赞
  • 127
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
客户端证书与服务器证书有什么区别?
qq_30683393的博客
04-29 1万+
客户或用户身份 对某些人来说,提及PKI或“客户证书”可能会让人想起保护和完成客户在线交易的企业形象,但这些证书在我们的日常生活中以各种口味发现; 当我们登录VPN时; 在自动柜员机或银行卡上使用银行卡进入建筑物; 例如,在伦敦市中心使用的Oyster公共交通智能卡中。这些数字证书甚至可以在汽油泵,汽车装配线上的机器人甚至护照上找到。 在欧洲大陆和许多所谓的“新兴国家”,客户证书的使用尤其普遍,政...
CA证书(数字证书原理)
万码奔腾的博客
03-18 2419
转自:http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html(感谢) 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出!
CA证书——https安全保障的基石
最新发布
qq_44005305的博客
06-24 980
HTTPS通信中,服务器端使用数字证书来证明自己的身份。客户端需要验证服务器发送的证书的真实性。这就需要一个可信的第三方机构,即CA,来颁发和管理证书CA证书证书颁发机构层次结构的顶级证书,客户端信任的所有证书都可以追溯到这个根证书。通过验证服务器证书的签发机构链条中的各个证书,客户端可以确保服务器证书的真实性,从而建立起信任关系。
数据安全:服务器证书与客户端证书的区别与应用分析
十年运维开发经验的王义杰在此分享自己的知识和经验
02-19 1345
服务器证书主要用于在服务器和客户端之间建立安全连接。其核心作用是为服务器提供身份验证,确保客户端正在与正确的服务器通信。主要特点:身份验证: 它确认了服务器的身份,防止“中间人攻击”。加密通讯: 通过SSL/TLS协议,服务器证书帮助加密客户端和服务器之间的数据传输。信任链: 签发自受信任的证书颁发机构(CA),建立信任关系。客户端证书是用于证明客户端身份的数字证书。它们在客户端和服务器之间的双向认证过程中起着关键作用。主要特点:个人身份验证。
数字证书CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
服务器和客户端双证书,服务器证书和客户端证书有什么区别
weixin_34079825的博客
07-31 2829
网络不法分子使用不同的技巧来窃取网站资源或客户的敏感信息。然后,他们使用这些数据从目标帐户中窃取钱财或进行任何其他恶意活动以谋取利益。 为了使您免受这些威胁的侵害,使用了客户端证书和服务器证书(即SSL证书)。这些证书可确保浏览器和网站之间的信息交换经过编码,并且不受第三者的限制。客户端和服务器证书的采用可有效保护两个参与方之间的通信。但是,两者彼此不同。它们之间的主要区别是:1)识别服务器证书用...
客户端认证服务端证书的过程
zxr的博客
03-30 1万+
https://www.cnblogs.com/zfxJava/p/5295957.html ### 消息-->[公钥]-->加密后的信息-->[私钥]-->消息 ### 加密:防窃听(私钥)(对签名加密,形成数字签名)(古典加密主要以保护算法为主,现代加密主要以保护密钥为主) 签名:防篡改(hash签名,并附加上原文一起发送)(权威机构给证书卡的一个章,即签名...
CA证书资源包(全版本通用)
12-15
CA证书,全称为“证书权威机构证书”,是网络安全领域中的重要组成部分,主要负责在互联网上验证数字证书的合法性。在本资源包“CA证书资源包(全版本通用)”中,包含了一个名为“cacert.der”的文件。这个文件通常...
ca证书颁发
12-12
### CA证书颁发知识点详解 #### 一、CA证书概述 在深入探讨CA证书颁发之前,我们首先需要了解什么是CA证书以及它在网络安全中的作用。CA(Certificate Authority)证书,即证书颁发机构证书,是一种用于验证网站或...
北京CA 证书应用安装程序
07-25
北京CA 证书应用安装程序
openssl生成CA证书,服务端证书,客户端证书
Amorbcbc的博客
07-10 1083
1.2将OpenSSL-Win64\bin\cnf中的openssl.cnf复制到上述新建的ssl目录中。参考这篇博客,将其中的一些换成了windows的命令行,记录一下方便自己以后查看。回到ssl目录,将新建的证书保存在其中。
CA数字证书
weixin_57321519的博客
07-20 784
由公钥加密的信息只能由与之相对应的私钥解密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA证书(含公钥),用以验证它所签发的证书。如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。...
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
CA 证书自签证-域名版本-nginx
douchunrong的博客
12-05 74
cenos 7 openssl 修改上面的域名为自己的域名。使用方式: 查看生成结果: 下载并安装证书 下载 证书并安装到电脑中。清理浏览记录后么,再次通过域名访问自己的网站提醒消失。参考: docker dnsmasq 服务搭建
CA注意力机制 (附代码)
PLANTTHESON的博客
10-08 5834
CA注意力机制 (附代码)
CA证书结构和验证原理
Tomhex的博客
01-19 1433
CA证书结构
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
Windows服务器版CA证书制作教程
"CA证书制作教程" 在信息技术领域,尤其是网络安全方面,CA(Certificate Authority)证书扮演着至关重要的角色。CA证书是数字证书的一种,它由受信任的证书颁发机构签发,用来验证网络中实体的身份,确保通信的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值