江苏龙网

  1. 主页 > 生活百科 > >

https认证过程,https认证需要什么条件

TLSTLS(传输层安全性(TLS)及其前身安全套接字层(SSL)是安全协议,旨在为互联网通信提供安全性和数据完整性 。
如图所示,建立连接时需要TLS 。
客户端发送 ClientHello(包含支持的协议版本、加密算法和 随机数A (Client random))到服务端 服务端返回 ServerHello、公钥、证书、随机数B (Server random) 到客户端 客户端使用CA证书验证返回证书无误后 。生成 随机数C (Premaster secret),用公钥对其加密,发送到服务端 服务端用 私钥 解密得到 随机数C (Premaster secret),随后根据已经得到的 随机数ABC生成对称密钥(hello的时候确定的加密算法),并对需要发送的数据进行对称加密发送 客户端使用对称密钥(客户端也用随机数ABC生成对称密钥)对数据进行解密 。双方手持对称密钥 使用对称加密算法通讯而这个过程的服务器端的证书是至关重要的 。
证书证书用于证明公钥所有者身份的证书 。
首先我们要知道证书是怎么来的 。
数字证书通常由数字证书认证机构颁发,需要
申请者通过非对称加密算法(RSA) 生成一对公钥和密钥,然后把需要的申请信息(国家,域名等)连同公钥发送给 证书认证机构(CA) CA构确认无误后通过消息摘要算法(MD5,SHA) 生成整个申请信息的摘要签名M,然后 把 签名M和使用的摘要算法 用 CA自己的私钥 进行加密该证书包含
公钥 证书拥有者身份信息 数字证书认证机构(发行者)信息 发行者对这份文件的数字签名及使用的算法 有效期证书的格式和验证方法一般遵循https://www . wiki wand . com/zh-Hans/x . 509国际标准 。
证书认证机构(CA)数字证书颁发机构(英文:CA),又称电子商务认证中心、电子商务认证机构,是负责颁发和管理数字证书的机构 。作为电子商务交易中的可信第三方,承担着验证公钥系统中公钥合法性的责任 。
其实任何个人/组织都可以成为CA(自签名证书),但是你颁发的证书的客户端是不可信的,也需要前面提到的权限 。如赛门铁克、Comodo、Godaddy、Digicert。
当客户端信任这些ca时,它们将在本地保存它们的根证书 (根证书) 。根证书是CA自己的证书,它是证书验证链的开始 。没有权威机构(已经是权威机构)对根证书进行数字签名,所以都是自签名证书 。
CA将使用intermediate-certificate而不是根证书来签署服务器端的证书,确保根证书密钥绝对不可访问 。
Godaddy给出了他这样做的原因 。
什么是中级证书?
https://sg.godaddy.com/help/what-is-an-intermediate-certificate-868 证书信任链 如前所述,向CA申请证书时,需要CA的私钥对整个证书的签名摘要进行非对称加密,即可以用CA的公钥对证书进行解密,得到证书的签名摘要 。当我们用相同的摘要算法(用于保存在证书中的算法)再次对整个证书进行签名时,如果得到的签名与证书上的签名一致,则说明该证书是可信的 。
同样,通过这种方式可以证明中介证书是可信的 。这样一个完整的过程叫做信任链 。
就是我绝对相信你(A > B);你绝对相信他;这意味着我绝对相信他
【https认证过程,https认证需要什么条件】整个过程如下:
客户端得到服务端返回的证书,通过读取得到 服务端证书的发布机构(Issuer) 客户端去操作系统查找这个发布机构的的证书,如果是不是根证书就继续递归下去 直到拿到根证书 。用 根证书的公钥 去 解密验证 上一层证书的合法性,再拿上一层证书的公钥去验证更上层证书的合法性;递归回溯 。最后验证服务器端的证书是 可信任[/s2/] 的 。Reference https://www.wikiwand.com/zh/根证书 https://www.wikiwand.com/zh-hans/信任鏈 https://www.wikiwand.com/zh-hans/证书颁发机构 http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html


    推荐阅读


    上一篇:年赚千万的生意有哪些,年赚千万的暴利项目揭秘

    下一篇:创业版指数股票有哪些,创业板股票一览表