【安全认证】【SSL】基本原理

举报
huahua.Dr 发表于 2022/09/20 20:43:09 2022/09/20
【摘要】  一、基础概念:1.什么是CACA就是一个组织,专门为网络服务器颁发证书的,国际知名的CA机构有VeriSign、Symantec,国内的有GlobalSign。每一家CA都有自己的根证书,用来对它所签发过的服务器端证书进行验证。如果服务器提供方想为自己的服务器申请证书,它就需要向CA机构提出申请。2.什么是服务器端证书服务器提供方,向CA提供自己的身份信息,CA判明申请者的身份后,就为它分...

 

一、基础概念:

1.什么是CA

CA就是一个组织,专门为网络服务器颁发证书的,国际知名的CA机构有VeriSign、Symantec,国内的有GlobalSign。

每一家CA都有自己的根证书,用来对它所签发过的服务器端证书进行验证。如果服务器提供方想为自己的服务器申请证书,它就需要向CA机构提出申请。

2.什么是服务器端证书

服务器提供方,向CA提供自己的身份信息,CA判明申请者的身份后,就为它分配一个公钥,并且CA将该公钥和服务器身份绑定在一起,并为之签字,这就形成了一个服务器端证书。

如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。

证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。

证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

目前,证书的格式和验证方法普遍遵循X.509国际标准。

 二、证书的申请流程

申请证书过程

首先要有一个CA根证书,然后用CA根证书来签发用户证书。

用户进行证书申请:

1. 先生成一个私钥

2. 用私钥生成证书请求(证书请求里应含有公钥信息)

3. 利用证书服务器的CA根证书来签发证书

这样最终拿到一个由CA根证书签发的证书,其实证书里仅有公钥,而私钥是在用户手里的。

三、CA+证书认证过程组成SSL工作过程

 1.单向SSL工作流程

 

1).客户端say hello 服务端

2).服务端将证书、公钥等发给客户端

3).客户端CA验证证书,成功继续、不成功弹出选择页面

4).客户端告知服务端所支持的加密算法

5).服务端选择最高级别加密算法明文通知客户端

6).客户端生成随机对称密钥key,使用服务端公钥加密发送给服务端

7).服务端使用私钥解密,获取对称密钥key

8).后续客户端与服务端使用该密钥key进行加密通信

 

2.双向SSL工作流程

单向认证,仅仅是客户端需要检验服务端证书是否是正确的,而服务端不会检验客户端证书是否是正确的。 双向认证,指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。

双向验证的过程:

1).客户端say hello 服务端

2).服务端将证书、公钥等发给客户端

3).客户端CA验证证书,成功继续、不成功弹出选择页面

4).客户端将自己的证书和公钥发送给服务端

5).服务端验证客户端证书,如不通过直接断开连接

6).客户端告知服务端所支持的加密算法

7).服务端选择最高级别加密算法使用客户端公钥加密后发送给客户端

8).客户端收到后使用私钥解密并生成随机对称密钥key,使用服务端公钥加密发送给服务端

9).服务端使用私钥解密,获取对称密钥key

10).后续客户端与服务端使用该密钥key进行加密通信

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。