SSL数字证书基本概念

CA机构

CA机构,即证书授权中心(Certificate Authority)或称证书授权机构。CA认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥合法性检验的责任。

SSL证书和SSL协议

安全套接层SSL(Secure Sockets Layer)协议是一种可实现网络通信加密的安全协议,可在浏览器和网站之间建立加密通道,保障数据在传输的过程中不被篡改或窃取。

数字证书是一个经权威授权机构数字签名,包含公开密钥的拥有者信息以及公开密钥的文件,是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。

SSL证书采用SSL协议进行通信,是由权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。SSL证书指定了在应用程序协议(例如,HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。

它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL证书采用公钥体制,即利用一对互相匹配的密钥对进行数据加密和解密。每个用户自己设定一把特定的、仅为本人所知的私有密钥(私钥),并用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

SSL证书部署到Web服务器后,您通过Web服务器访问网站时将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助您的Web服务器和客户端浏览器间建立可信的加密链接,从而保证网络数据传输的安全。

什么是根证书?

根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。

受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。

什么是中间证书?

CA机构不会直接使用根证书签发服务器证书(即SSL证书),因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。

因此,为了避免这种风险发生,CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名,使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次,即使用中间证书给另一个中间证书,然后新的中间证书同样可以签署SSL证书。

这是证书链的可视化过程。从上述例子可看出,CA机构只需要使用一个中间证书就可以简单实现签名,但实际上真正的证书链通常要复杂的多。

如果证书链不完整就会导致下一级证书不受信任,所以,在安装服务器证书时,请确保你的证书链完整。如果缺少中间证书,可以参考下面的方法获取中间证书。

什么是证书链?

浏览器是如何鉴定信任网站的SSL证书?

其实,当客户端访问服务器时,浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。

证书链是什么?

用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR提交到证书颁发机构,然后使用CA机构的根证书的私钥对用户的SSL证书签名,并将SSL证书颁发给用户。

在证书链中,通常分为三级结构,根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端,该证书包含了服务器域名,服务器公钥和签名值等。在其上一级则是中间证书,也就是由权威CA机构授权的二级机构,用来签发服务器证书。最上级就是根证书,也就是CA机构,对服务器身份进行校验时,需要验证整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确,从而构成一条信任链。如下图所示:

csdn 博客用的证书如上,其中DigiCert为顶端根证书,GeoTrust CN RSA CA G1为中间证书, *.csdn.net 为服务器证书,

当你点击对应的证书,会显示颁发者之间的关系,这种关系便形成证书链。如下图所示:

在证书链中,通常分三级结构,根证书,中间证书和服务器实体证书,正确的证书链顺序中服务器实体证书处在最底端,里面包含了些服务器域名,

服务器公钥和签名值等。服务器证书上一级是中间证书,中间证书就是上面提到的由权威CA机构授权的二级机构,可以由它来签发服务器证书。

中间证书可以是由多张证书组合在一起,最上级的是根证书,也就是CA机构,对服务器身份进行校验时,需要验证一整个证书链,

由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器实体证书的签名值是否正确。

校验服务器身份需要验证整个证书链,从服务器实体证书开始,服务器实体证书的签发者是上一级中间证书的使用者,中间证书的签发者是上一级根证书的使用者。

每一级证书都有签名值,根证书使用自己的根CA公钥验证自己的签名,也用来验证中间证书的签名值,中间证书的公钥用来验证下一级的服务器实体证书签名值,以此构成一条信任链。

HTTPS

HTTPS也就是HTTP+SSL,基于SSL协议的网站加密传输协议,是HTTP的安全版。

您的网站安装SSL证书后,将会通过HTTPS加密协议来传输数据,HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度双向加密传输,防止传输数据被泄露或篡改。

域名

域名是IP地址的代称,由一串用半角句号(.)分隔的名称组成,在数据传输时用来标识一台服务器或服务器组。

单域名是最简单的域名,例如,www.aliyundoc.com。

通配符域名是指对应一个主域名及其所有次级子域名的域名。

通配符证书

通配符证书也叫泛域名证书,证书绑定的域名为通配符域名(例如*.aliyundoc.com)时,即称该证书为通配符域名证书。

多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请。

混合域名证书

混合域名证书是指绑定的域名既包括单域名,也包括通配符域名的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。

数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请。

Nginx

Nginx是一款轻量级高并发的Web服务器、反向代理服务器和电子邮件(IMAP和POP3)代理服务器,在BSD-like协议下发行。它可以运行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等操作系统上,为您提供反向代理、负载均衡、动静分离等服务。

CSR

CSR(Certificate Signing Request)是证书签名请求文件,包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核,CA中心对CSR文件进行根证书私钥签名后会生成证书公钥文件(即签发给您的SSL证书)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/527513.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于GD32的简易数字示波器(3)- PCB设计

这期记录的是项目实战,做一个简易的数字示波器。 教程来源于嘉立创, 本期介绍PCB设计的大致流程。 下图为示波器的指标 具有选择交流耦合还是直流耦合功能、输入信号不衰减或衰减50倍 输入频率理论最大800KHz输入幅值(不衰减)…

03-JAVA设计模式-原型模式

原型模式 什么是原型模式 Java原型模式(Prototype Pattern)是一种创建型设计模式,其核心理念在于通过复制(克隆)已有的对象来创建新的对象,而不是通过构造函数来创建。 该模式可以显著提高对象创建的效率…

Web3的智能合约:未来合约的新范式

随着区块链技术的不断成熟和发展,智能合约作为其核心应用之一,正逐渐成为数字经济中的重要组成部分,引领着未来合约的新趋势。Web3的智能合约代表了一种全新的合约形式,其特点和应用将在未来产生深远影响。 智能合约的基本原理 智…

React - 你知道props和state之间深层次的区别吗

难度级别:初级及以上 提问概率:60% 如果把React组件看做一个函数的话,props更像是外部传入的参数,而state更像是函数内部定义的变量。那么他们还有哪些更深层次的区别呢,我们来看一下。 首先说props,他是组件外部传入的参数,我们知道…

皮具5G智能制造工厂数字孪生可视化平台,推进企业数字化转型

皮具5G智能制造工厂数字孪生可视化平台,推进企业数字化转型。随着信息技术的快速发展,数字化转型已成为企业提升竞争力、实现可持续发展的关键路径。皮具行业,作为一个传统的手工制造业,正面临着巨大的市场变革和技术挑战。如何在…

07 spring-cloud-gateway 的路由相关

前言 我们这里 大致梳理一下 spring-cloud-gateway 路由的相关处理 spring-cloud 微服务组件中的网关 这里主要分为几个 步骤 路由规则怎么获取如何路由网关过滤器的处理如何转发请求道下游微服务组件 路由规则怎么获取? GatewayAutoConfiguration 中包含了 spring-clou…

华为手机 鸿蒙系统 或者安卓系统的百度网盘下载的文件保存在手机什么位置如何查看

华为手机 鸿蒙系统 或者安卓系统的百度网盘下载的文件保存在手机什么位置如何查看 连接电脑后一般在这里位置 计算机\Mate 20 Pro (UD)\内部存储\Download\BaiduNetdisk 也就是用usb(数据线,不是充电线,要四心的 )连接手机后,打…

JVM字节码与类加载——字节码指令集与解析

文章目录 1、概述1.1、字节码与数据类型1.2、指令分类 2、加载与存储指令2.1、局部变量入栈指令2.2、常量入栈指令2.3、出栈装入局部变量表指令 3、算术指令3.1、彻底理解i与i3.2、比较指令 4、类型转换指令4.1、宽化类型转换4.2、窄化类型转换 5、对象、数组的创建与访问指令5…

Leetcode 437. 路径总和 III

心路历程: 这道题递推并不难,但是有细节需要注意,主要就是区间可以不是根节点,以及结束不一定是叶子结点这两个限制。 其余的动态规划即可。 注意的点: 1、由于终点不一定是叶子结点,所以当递归的target…

css字体加粗实例

确定字体粗细的是font-weight属性&#xff1b; 它的number值可取100-900&#xff1b; 如果把属性设为normal&#xff0c;相当于number为400&#xff1b; 设为bold&#xff0c;相当于number为700&#xff1b; html<b>或<strong>跟bold效果一样&#xff1b; <!…

基于velero和minio实现k8s数据的备份

1.30部署minio rootk8s-harbor:/etc/kubeasz/clusters/k8s-cluster1# docker run \ -d --restartalways -p 9000:9000 -p 9090:9090 –name minio -v /data/minio/data:/data -e “MINIO_ROOT_USERadmin” -e “MINIO_ROOT_PASSWORD12345678” quay.io/minio/minio server…

java实现UDP数据交互

1、回显服务器 服务器端 import java.io.IOException; import java.net.DatagramPacket; import java.net.DatagramSocket; import java.net.SocketException;public class UDP_Server {private DatagramSocket socketnull;public UDP_Server(int port) throws SocketExcepti…

工地安全监测识别摄像机

工地安全监测识别摄像机是一种在建筑工地和施工现场广泛使用的智能监控设备&#xff0c;主要用于监测施工过程中可能出现的安全隐患和违规行为&#xff0c;以确保工地人员和设备的安全。通过高清摄像头、智能算法和远程监控系统的结合&#xff0c;该摄像机可以实时监测工地各个…

4.8作业

1、使用手动连接&#xff0c;将登录框中的取消按钮使用qt4版本的连接到自定义的槽函数中&#xff0c;在自定义的槽函数中调用关闭函数 将登录按钮使用qt4版本的连接到自定义的槽函数中&#xff0c;在槽函数中判断ui界面上输入的账号是否为"admin"&#xff0c;密码是…

Qt | Q_PROPERTY属性和QVariant 类

一、属性基础 1、属性与数据成员相似,但是属性可使用 Qt 元对象系统的功能。他们的主要差别在于存取方式不相同,比如属性值通常使用读取函数(即函数名通常以 get 开始的函数)和设置函数(即函数名通常以 set 开始的函数)来存取其值,除此种方法外,Qt 还有其他方式存取属性值…

EditPlus来啦(免费使用!)

hello&#xff0c;我是小索奇 今天推荐一款编辑器&#xff0c;是索奇学习JavaSE时入手滴&#xff0c;非常好用哈&#xff0c;小索奇还是通过老杜-杜老师入手滴&#xff0c;相信很多人也是通过老杜认识嘞&#xff0c;来寻找破解版或者准备入手这个间接使用的编辑器~ EditPlus是…

Ubuntu22.04修改默认窗口系统为X11

Ubuntu22.04安装默认窗口系统为Wayland&#xff08;通过设置->关于可以看到&#xff09;。 一、用Ubuntu on Xorg会话登录 用户登录时&#xff0c;点“未列出”&#xff0c;输入用户名后&#xff0c;在登录界面底部的齿轮图标中&#xff0c;选择 "Ubuntu on Xorg&quo…

windows下使用ZLMediaKit-API+FFmpeg+opengl拉取解码播放流媒体

ZLMediaKit简介 ZLMediaKit是一个基于C11的高性能运营级流媒体服务框架&#xff0c;和SRS类似&#xff0c;功能强大&#xff0c;性能优异&#xff0c;提供多种支持多种协议(RTSP/RTMP/HLS/HTTP-FLV/WebSocket-FLV/GB28181/HTTP-TS/WebSocket-TS/HTTP-fMP4/WebSocket-fMP4/MP4/…

解决idea种maven依赖时明明有包,但是一直提示 Cannot resolve com.grandtech:gny-common:0.0.7

1、先看提示问题 &#xff0c;Cannot resolve com.grandtech:gny-common:0.0.7&#xff0c; 2、依赖我也是是没有问题 3、在maven库中的包也是要来的新的别人能运行的。但是放进去就是无法解析。 解决办法&#xff1a;在idea中直接&#xff0c;用mvn命令装载&#xff1a; ①…

设计模式浅析(十一) ·状态模式

设计模式浅析(十一) 状态模式 日常叨逼叨 java设计模式浅析&#xff0c;如果觉得对你有帮助&#xff0c;记得一键三连&#xff0c;谢谢各位观众老爷&#x1f601;&#x1f601; 状态模式 概念 状态模式 Java中的状态模式&#xff08;State Pattern&#xff09;是一种行为型…