理解有錯誤的地方,請高手指正!
1,ca中心,有一套自己的公鑰和私鑰,ca用自己的私鑰去生成乙個自認證的證書
2,ca中心的自認證證書是有公信力的,一般被客戶端所熟知,發放到每個客戶端!
3,客戶端需要將ca中的自認證證書加入信任列表!
4,伺服器要加入ca體系,要向ca中心申請,ca中心驗證了伺服器的資料後,向伺服器發放乙個證書(key),裡面包含了乙個秘鑰
5,ca發給伺服器的簽名證書是用ca自己的秘鑰和申請者(伺服器)的秘鑰(key)加密過的,
6,證書裡面包含:申請者的身份資訊、申請者公鑰,ca秘鑰加密過的一些資訊!
7,因為沒有ca的秘鑰,任何人,不能篡改此證書,(篡改後,解開是一團亂碼)
8,任何人,用ca的自認證證書可以讀取證書裡面的身份資訊
9,證書的普遍可讀性和證書的不能更改性就由此體現
>>>問題1:既然不能篡改,為了偽造伺服器,我可以影印乙個伺服器的簽名證書,偽裝成伺服器!
客戶端看到你的的證書,好,我就用你給我的證書,加密資訊,把加密的資訊傳給你!你必須拿跟證書裡面的公鑰相匹配的秘鑰才能解密,否則你看到的就是亂碼!
你沒有,所以你影印了也沒用!
10,客戶端只要信賴ca,就可以放心的和伺服器進行互動了!
11,伺服器需要驗證客戶端嗎?這個是可選的,驗證方法跟服務驗證是類似的!
12,這裡面的關係其實就是使用非對稱加密技術:
ca中心生成自簽名證書,裡面暗含了ca中心的秘鑰演算法!
ca中心將伺服器的簽名證書加密,伺服器拿到了使用這個簽名證書秘鑰和證書!同樣ca發給伺服器的簽名證書也暗含了ca的秘鑰演算法!
ca傳送給伺服器的簽名證書包含了伺服器的一些資訊,這些資訊可以證明:我就是這個證書裡面說明的伺服器!
伺服器器是無法修改證書資訊的,因為客戶端是用ca的自簽名證書去解讀伺服器證書資訊的,自簽名證書暗含了ca的秘鑰演算法,伺服器證書也暗含了ca的秘鑰演算法;
如果伺服器更改了證書,那麼客戶端就無法使用ca的自簽名證去讀取伺服器證書的資訊內容了,客戶端自然就無法信任此伺服器,那麼更改證書也就沒有意義了!
由於除了ca之外,任何人無法修改伺服器簽名證書內容,因此,對於信任ca的權威性的客戶端二樣,簽名證書同樣具有權威性!
nginx伺服器部署SSL證書
1.1.1 openssl解壓 將 openssl 安裝包openssl 1.0.2d.tar.gz上傳 到目錄 home 執行 解壓命令 tar xzf openssl 1.0.2d.tar.gz 2.1.1 生成key 新建乙個目錄存放ssl證書生成檔案 m kdir ssl openssl g...
Apache SSL伺服器配置SSL詳解
1.安裝必要的軟體 引用 我用的是apahce2.0.61版,可以直接官方提供的繫結openssl的apache.檔名是 apache 2.0.61 win32 x86 openssl 0.9.7m.msi 否則單獨安裝windows下的openssl比較麻煩,要麼找到乙個第三方的編譯結果,要麼自己...
Web伺服器配置SSL示例
tomcat配置ssl服務示例 說明 secure 使用安全通訊模式 clientauth 是否要求客戶端出示證書 單 雙向ssl sslprotocol ssl協議型別 ssl sslv2 sslv3 tlsv1 keystoretype 金鑰容器型別 keystorefile 伺服器證書金鑰容器...