首页 > 其他分享 >【转载】一文看懂HTTPS、证书机构(CA)、证书、数字签名、私钥、公钥

【转载】一文看懂HTTPS、证书机构(CA)、证书、数字签名、私钥、公钥

时间:2023-02-28 22:34:12浏览次数:36  
标签:公钥 加密 证书 数字签名 私钥 服务端 客户端

说到https,我们就不得不说tls/ssl,那说到tls/ssl,我们就不得不说证书机构(CA)、证书、数字签名、私钥、公钥、对称加密、非对称加密。这些到底有什么用呢,正所谓存在即合理,这篇文章我就带你们捋一捋这其中的关系。

对称加密

对称加密是指双方持有相同的密钥进行通信,加密速度快,但是有一个安全问题,双方怎样获得相同的密钥?你总不能总是拿着U盘把密钥拷贝给对方吧。
常见的对称加密算法有DES、3DES、AES等

非对称加密

非对称加密,又称为公开密钥加密,是为了解决对称加密中的安全问题而诞生,一个称为公开密钥(public key),即公钥,另一个称为私钥(private key),即私钥。但是它的加密速度相对于对称加密来说很慢。

  • 公钥(public key)是对外开放的,私钥(private key)是自己拥有的。
  • 公钥(public key)加密的数据,只能用私钥(private key)解密。
  • 私钥(private key)加密的数据,只能用公钥(public key)解密。

信息安全问题

在信息安全性问题中,我们常常要做到三点才能保证信息的安全:

  1. 信息的保密性
  2. 信息的完整性
  3. 身份识别

信息的保密性(加密算法)

信息的保密性我们可以使用对称加密和非对称加密来完成,使用对称加密来完成,速度相对非对称加密很快,但是存在一个安全问题,密钥如何传递?由此通用的方法是使用非对称加密+对称加密来完成。客户端使用公钥对对称加密的密钥进行加密,然后传递给服务端,服务端使用私钥进行解密确认密钥,开始传输数据。


 

 

 

image.png

信息的完整性(数字签名)

信息传输的途中,我们的信息很有可能被第三方劫持篡改,所以我们需要保证信息的完整性,通用方法是使用散列算法如SHA1,MD5将传输内容hash一次获得hash值,即摘要。客户端使用服务端的公钥对摘要和信息内容进行加密,然后传输给服务端,服务端使用私钥进行解密获得原始内容和摘要值,这时服务端使用相同的hash算法对原始内容进行hash,然后与摘要值比对,如果一致,说明信息是完整的。


 

 

 

image.png

身份识别(数字证书)

在信息传输的过程中,我们通常需要验证信息的发送方的身份,这时我们转化一下思路就可以完成,把发送端的公钥发送给接收端,发送端通过把自己的内容使用私钥加密然后发送给接收端,接收端只能用发送端的公钥解密,自然就验证了发送端的身份。


 

 

 

image.png

数字证书

在传输的过程中,客户端如何获得服务器端的公钥呢?当时是服务器分发给客户端,如果一开始服务端发送的公钥到客户端的过程中有可能被第三方劫持,然后第三方自己伪造一对密钥,将公钥发送给客户端,当服务器发送数据给客户端的时候,中间人将信息进行劫持,用一开始劫持的公钥进行解密后,然后使用自己的私钥将数据加密发送给客户端,而客户端收到后使用公钥解密,反过来亦是如此,整个过程中间人是透明的,但信息泄露却不得而知。


 

 

 

image.png

为了防止这种情况,数字证书就出现了,它其实就是基于上上面所说的私钥加密数据,公钥解密来验证其身份。
数字证书是由权威的CA(Certificate Authority)机构给服务端进行颁发,CA机构通过服务端提供的相关信息生成证书,证书内容包含了持有人的相关信息,服务器的公钥,签署者签名信息(数字签名)等,最重要的是公钥在数字证书中。
数字证书是如何保证公钥来自请求的服务器呢?数字证书上由持有人的相关信息,通过这点可以确定其不是一个中间人;但是证书也是可以伪造的,如何保证证书为真呢?
一个证书中含有三个部分:"证书内容,散列算法,加密密文",证书内容会被散列算法hash计算出hash值,然后使用CA机构提供的私钥进行RSA加密。


 

 

 

image.png

当客户端发起请求时,服务器将该数字证书发送给客户端,客户端通过CA机构提供的公钥对加密密文进行解密获得散列值(数字签名),同时将证书内容使用相同的散列算法进行Hash得到另一个散列值,比对两个散列值,如果两者相等则说明证书没问题。


 

 

 

image.png

一些常见的证书文件类型如下:

X.509#DER 二进制格式证书,常用后缀.cer .crt
X.509#PEM 文本格式证书,常用后缀.pem
有的证书内容是只包含公钥(服务器的公钥),如.crt、.cer、.pem
有的证书既包含公钥又包含私钥(服务器的私钥),如.pfx、.p12

HTTPS,TLS/SSL

Hyper Text Transfer Protocol over Secure Socket Layer,安全的超文本传输协议,网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密,保证会话过程中的安全性。

使用TCP端口默认为443

TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。

SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。

SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。

对称加密
速度高,可加密内容较大,用来加密会话过程中的消息

公钥加密
加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥


 

 

 

image.png

HTTPS单向认证

Https在建立Socket连接之前,需要进行握手,具体过程如下:


 

 

  image.png
  1. 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息;

  2. 服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书;

  3. 客户端使用服务端返回的信息验证服务器的合法性,包括:

    • 证书是否过期;
    • 发行服务器证书的CA是否可靠;(通过查询浏览器或本机内的CA证书)
    • 返回的公钥是否能正确解开返回证书中的数字签名;(通过使用本机或浏览器内置的CA公钥进行解密)
    • 服务器证书上的域名是否和服务器的实际域名相匹配;
    • 验证通过后,将继续进行通信,否则,终止通信;
  4. 客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择;

  5. 服务器端在客户端提供的加密方案中选择加密程度最高的加密方式;

  6. 服务器将选择好的加密方案通过明文方式返回给客户端;

  7. 客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器;

  8. 服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥;
    在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全;

HTTPS双向认证

双向认证和单向认证类似,它额外增加了服务端对客户端的认证:


 

 

 

image.png
  1. 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息;

  2. 服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书;

  3. 客户端使用服务端返回的信息验证服务器的合法性,包括:

    • 证书是否过期;
    • 发行服务器证书的CA是否可靠;(通过查询浏览器或本机内的CA证书)
    • 返回的公钥是否能正确解开返回证书中的数字签名;(通过使用本机或浏览器内置的CA公钥进行解密)
    • 服务器证书上的域名是否和服务器的实际域名相匹配;
    • 验证通过后,将继续进行通信,否则,终止通信;
  4. 服务端要求客户端发送客户端的证书即客户端证书公钥,客户端会将自己的证书发送至服务端;

  5. 验证客户端的证书,通过验证后,会获得客户端的公钥;

  6. 客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择

  7. 服务器端在客户端提供的加密方案中选择加密程度最高的加密方式;

  8. 将加密方案通过使用之前获取到的公钥进行加密,返回给客户端

  9. 客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端;

  10. 服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全;




标签:公钥,加密,证书,数字签名,私钥,服务端,客户端
From: https://www.cnblogs.com/Griffin/p/17166317.html

相关文章

  • Chrome 105实施的Chrome Root Program policy导致自签名证书用不了
    方案回顾Chrome变更导致自签名证书验证方式发生变化这个方案在Chrome105之前都是运行良好的,然后在Chrome105+Chrome实施了ChromeRootProgrampolicy(参考阅读),而从Chr......
  • k8s各种证书介绍
    在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。官方文档参考:https://kubernetes.io/docs/setup/certificates/https://blog.csdn.net/vic_qx......
  • OPENSSL RSA 与JAVA C++ RSA 生成 公钥 私钥
    客户端和服务端通信一般可能会采用非对称加密,这样服务端私钥加密,客服端解密,客户端加密,服务端解密。服务端采用JAVA,这个很方便,客户端因为是多平台,采用OPENSSL可能会遇到的问......
  • 揭开Salesforce Accredited Professional证书神秘面纱,到底含金量有多高?
    自从Salesforce宣布AccreditedProfessional计划以来,已经过去了将近两年。这些认证旨在证明备考者在Salesforce平台特定领域的广泛知识,并且仅供Salesforce合作伙伴使用。A......
  • 如何使用appuploader制作apple证书​
    如何使用appuploader制作apple证书​​​1.证书管理​​点击首页的证书管理​​2.新建证书​​点击“添加”,新建一个证书文件(PS:推荐勾选密码下面的蓝字字体内容),免费账号制作......
  • 如何使用appuploader制作apple证书​
    如何使用appuploader制作apple证书​1.证书管理​点击首页的证书管理2.新建证书​点击“添加”,新建一个证书文件(PS:推荐勾选密码下面的蓝字字体内容),免费账号制作证书......
  • Mac 配置SSH公钥
    cd/进入主目录查看.ssh文件,是否存在公私钥,参考:链接https://www.jianshu.com/p/1bdae85fcf7bhttp://events.jianshu.io/p/54f8c11aa7d9......
  • hbuilderx打正式包所需的私钥证书的创建方法
    现在使用uniapp作为底层框架来开发app应用已经成为了很多公司的事实标准,而uniapp的开发工具hbuilderx云打包的时候,需要私钥证书和证书profile文件。而且还需要将打包好的i......
  • Docker配置https证书案例
    目录一.安装harbor1.安装docker2.安装dockercompose3.解压harbor软件包二.配置harbor服务器配置https证书1.修改harbor配置文件2.使得配置生效3.测试服务三.配置harbor服......
  • 【Azure 应用服务】应用代码中需要使用客户端证书访问服务接口,部署在应用服务后报错不
    问题描述在应用中,需要访问另一个服务接口,这个接口需要使用客户端证书进行认证。在代码中使用System.Security.Cryptography.X509Certificates加载Window系统中 CurrentU......