為認證對等體的身份,ssl 協議使用了稱為數字證書的 x.509 證書。數字證書本質上是由可信方發出的電子標識卡,這種卡使使用者能夠通過使用公用金鑰密碼術來驗證證書的傳送方和接收方。
公用金鑰密碼術使用兩種不同的密碼術金鑰:專用金鑰和公用金鑰。公用金鑰密碼術也稱為非對稱密碼術,因為您可以使用給定公用-專用金鑰對中的乙個金鑰加密資訊,而用補充金鑰解密資訊。公用-私用金鑰對僅僅是充當使用者加密方案的長串資料。使用者將專用金鑰儲存在乙個安全位置(例如,在計算機的硬碟驅動器上加密),並向該使用者希望進行通訊的任何人提供公用金鑰。專用金鑰用於以數字方式簽署來自使用者的所有安全通訊,而公用金鑰由接收方用來驗證傳送方的簽名。
公用金鑰密碼術是基於信任而構建的:公用金鑰的接收方需要相信該金鑰確實屬於傳送方而不是冒名頂替者。數字證書提供了這種信任。因此,共享 ssl 會話的 ibm tivoli workload scheduler 工作站必須已在本地安裝 x.509 證書庫,這種證書將在 ssl 會話建立期間交換,以認證會話。
數字證書由稱為認證中心(ca)的可信機構簽發。已簽署的數字證書包含:
傳送到認證中心以進行簽署的證書請求包含:
如果認證中心(例如 verisign 或 thawte)的根證書(即包含認證中心簽名的證書)列在客戶機(伺服器)可信 ca 列表中,則表示客戶機(或伺服器)應用程式信任該認證中心。應用程式建立其可信 ca 列表的方式取決於 ssl 實現。如果使用 openssl(例如),則可信 ca 列表僅僅是乙個包含所有應信任的 ca 的並置證書的檔案。如果使用 os/390 密碼服務系統 ssl,則可信 ca 列表是乙個包含可信 ca 的證書的專有資料庫。認證中心使用數字證書中的公用金鑰驗證此簽名,以確保證書請求在申請者與 ca 間傳遞時沒有被修改,並確保申請者擁有與證書請求中的公用金鑰相匹配的專用金鑰。
ca 還負責某些級別的身份驗證。這可能涉及從很小的論證到完全確定所有者的身份。自簽署數字證書是特定型別的證書。它包含:
根 ca 的數字證書是自簽署數字證書的乙個示例。使用者也可以為測試用途而建立他們自己的自簽署數字證書。
SSL金鑰協商過程詳解
由於非對稱加密的速度比較慢,所以它一般用於金鑰交換,雙方通過公鑰演算法協商出乙份金鑰,然後通過對稱加密來通訊,當然,為了保證資料的完整性,在加密前要先經過hmac的處理。ssl預設只進行server端的認證,客戶端的認證是可選的。以下是其流程圖 摘自tls協議 client server clien...
建立SSL金鑰和證書
使用openssl for windows版,一行命令生成秘鑰和證書檔案,只需替換以下命令列中的紅色部分,複製 貼上 執行即可 openssl req newkey rsa 2048 new nodes x509 days 3650 keyout myserver.key out myserverc...
SSL 2125 可可解金鑰
摩爾莊園裡所有的快樂都由小摩爾們一起創造,一起分享,除了莊園入口,摩爾莊園的圍牆也是由小摩爾志願者重兵把守。這些志願者在執勤的時候是不能說話,但是相鄰小摩爾們可以手牽手進行無聲交流。為了保證執勤的秩序,規定不允許4個或更多的人聯絡在一起。守衛莊園的小摩爾們每天數量不一。現在可可要回答出他們有多少種牽...